Introduction

Contrairement à une idée reçue, la jurisprudence américaine sur l’usage de l’intelligence artificielle n’est pas une réalité réservée aux géants de la Silicon Valley. Elle constitue un laboratoire jurisprudentiel dont les enseignements ont vocation à irriguer les pratiques européennes, notamment en matière de droit d’auteur, de confidentialité des données et de gouvernance des outils numériques.

Le litige opposant le New York Times (NYT) à OpenAI est l’affaire pivot de cette évolution. Le NYT allègue qu’OpenAI a entraîné ses grands modèles de langage (LLM) sur des millions d’articles protégés sans autorisation. Deux décisions de discovery rendues par la juge fédérale Ona T. Wang posent alors des principes directeurs qui dépassent largement le seul secteur de la presse.

Pour les entreprises françaises et européennes, le message est clair : si demain un litige éclate et que vos collaborateurs ont saisi des données sensibles dans un outil IA grand public, ces données pourraient être contraintes à la production devant un tribunal.

Ce que les décisions américaines récentes révèlent sur la communicabilité des données IA

Quand les journaux IA résistent à la discovery

En l’espèce, le NYT reproche à OpenAI d’avoir utilisé sans autorisation ses articles pour entraîner ses modèles d’IA, lesquels seraient en outre susceptibles de générer des reproductions ou quasi-reproductions de ses contenus.

Dans sa première décision du 19 septembre 2025, la juge Wang a rejeté la demande d’OpenAI et de Microsoft tendant à obtenir la production des journaux internes « ChatExplorer » du New York Times, comprenant les prompts saisis par les employés du journal et les réponses générées. Les défendeurs soutenaient que ces éléments pouvaient démontrer l’existence d’usages légitimes et non contrefaisants des modèles d’IA, notamment dans un contexte journalistique.

La cour a toutefois estimé que ces journaux étaient trop éloignés du cœur du litige. L’analyse du fair use devait porter sur l’utilisation par OpenAI des œuvres protégées du NYT pour entraîner ses modèles, ainsi que sur les éventuelles reproductions générées par ces modèles, et non sur l’usage interne que le NYT faisait lui-même d’un outil d’IA. De même, ces logs ne permettaient pas réellement d’apprécier l’impact économique de ChatGPT sur le marché du journal : le NYT ne pouvait être considéré comme son propre concurrent.

Enfin, la demande a été jugée disproportionnée. Elle impliquait l’examen de plus de 80 000 entrées, susceptibles de contenir des informations sensibles ou couvertes par le secret professionnel, sans que leur utilité probatoire soit suffisamment démontrée. La décision rappelle ainsi que les données issues d’outils d’IA ne sont pas automatiquement communicables : leur production suppose un lien direct avec le litige et une charge de revue proportionnée.

Quand les journaux IA deviennent communicables

La seconde décision, rendue le 2 décembre 2025, illustre l’autre versant du raisonnement. Cette fois, ce n’était plus OpenAI qui sollicitait les journaux internes du NYT, mais le New York Times qui demandait la production de journaux de sorties ChatGPT générées par des utilisateurs consommateurs. L’objectif était de démontrer que les modèles d’OpenAI pouvaient reproduire, en réponse à certains prompts, des articles protégés du journal.

La juge Wang a accueilli cette demande. Contrairement aux logs ChatExplorer, ces journaux étaient directement liés au cœur du litige : ils pouvaient permettre d’établir si les sorties de ChatGPT reproduisaient effectivement des contenus protégés du NYT. Ils étaient donc pertinents pour apprécier non seulement l’existence d’une éventuelle contrefaçon, mais aussi les moyens de défense d’OpenAI, notamment le fair use et l’existence d’usages substantiels non contrefaisants.

La cour a également jugé la demande proportionnée. L’échantillon sollicité portait sur 20 millions de journaux dé-identifiés, soit moins de 0,05 % du volume total conservé par OpenAI. La mesure était en outre encadrée par des garanties de confidentialité et par un processus de dé-identification déjà largement engagé. Cette décision montre ainsi que les données IA peuvent devenir communicables lorsqu’elles touchent directement au fond du litige, qu’elles sont utiles à la preuve des prétentions des parties et que leur production reste techniquement et juridiquement maîtrisée.

L ‘affaire Heppner : l ‘IA sans avocat, une protection illusoire

Dans United States v. Heppner, décision rendue le 17 février 2026, le juge Rakoff a refusé de protéger, au titre du secret professionnel ou de la doctrine du work product, des documents générés par le défendeur à l’aide de Claude, avant toute intervention effective d’un avocat.

La décision rappelle que les échanges avec un outil d’IA ne sauraient être assimilés à des communications confidentielles avec un conseil, et que des documents préparés sans direction ni demande d’un avocat ne bénéficient pas, en principe, de la protection attachée au travail préparatoire de la défense. Le raisonnement est encore renforcé par les conditions d’utilisation de l’outil, qui ne garantissaient pas une confidentialité suffisante des données saisies.

Cette affaire illustre ainsi le risque, pour un client, de partager seul avec une IA des informations liées à un litige ou à une stratégie de défense : en l’absence d’encadrement par un avocat et de garanties de confidentialité, ces échanges peuvent devenir communicables.

Pour un approfondissement, vous pouvez vous référer à notre précédent article.

Quels risques concrets pour les entreprises et leurs conseils ?

Ces décisions révèlent des risques systémiques que toute organisation utilisant l ‘IA doit anticiper. Au-delà de la procédure américaine, les mécanismes de production forcée de preuves existent en droit français (référé probatoire, communication de pièces) et les principes dégagés y sont transposables.

  • Violation du secret des affaires : des données stratégiques saisies dans un outil IA grand public peuvent être stockées, traitées et potentiellement divulguées à des tiers, conformément aux conditions générales de la plateforme.
  • Perte du bénéfice du secret professionnel : un avocat qui saisit des données sensibles de son client dans un outil IA public s ‘entraînant sur les entrées utilisateurs prend le risque de renoncer entièrement à la protection liée au secret professionnel.
  • Obligation de conservation et de production : les prompts et sorties IA constituent des informations stockées électroniquement soumises aux mêmes obligations que les courriels. En cas de litige prévisible, leur suppression peut constituer une violation procédurale grave.
  • Responsabilité pour contenu halluciné : soumettre à un tribunal une jurisprudence inexistante générée par un LLM engage la responsabilité disciplinaire et civile de l ‘avocat ou du conseil qui s ‘en prévaut.
  • Risque de contrefaçon : les sorties IA reproduisant des œuvres protégées sans licence peuvent engager la responsabilité de l ‘utilisateur au titre du droit d’auteur.

Les mesures indispensables pour protéger les données de vos clients

La première étape consiste à auditer les outils d’IA utilisés, y compris de manière informelle, afin d’identifier les risques liés aux conditions d’utilisation, à la confidentialité, à la rétention des données et à leur éventuelle utilisation à des fins d’entraînement.

L’organisation doit ensuite formaliser une politique interne de gouvernance de l’IA, encadrant les données pouvant être saisies, la conservation des journaux, les obligations de préservation en cas de litige et la vérification humaine des sorties générées avant toute utilisation officielle.

Enfin, cette politique doit s’accompagner d’une formation des équipes. Les avocats, dirigeants et responsables juridiques doivent comprendre les risques liés à l’IA, éviter la production d’éléments inexacts et garantir une gouvernance claire, documentée et effectivement appliquée.

proteger donnes client

Le droit européen à la rescousse : RGPD, IA Act et propriété intellectuelle

Le droit européen offre un cadre complémentaire et plus protecteur. Le Règlement général sur la protection des données (RGPD) impose notamment que tout traitement de données personnelles poursuive une finalité déterminée et respecte les principes de minimisation des données, de droit à l’effacement et certaines mesures de sécurité. L’usage d’un outil d’IA grand public pour traiter des données personnelles de clients, sans base légale ni analyse d’impact, peut constituer une violation sanctionnable par la CNIL.

‘AI Act renforce également les exigences de transparence, de traçabilité et de supervision humaine, en particulier pour les systèmes d’IA à haut risque utilisés dans des contextes juridiques ou décisionnels.

Enfin, les contenus générés par IA peuvent porter atteinte à des droits de propriété intellectuelle préexistants, tels que le droit d’auteur, les marques, les dessins et modèles ou les brevets. La titularité des droits sur une œuvre générée par IA demeurant incertaine en droit français, toute exploitation commerciale doit faire l’objet d’une analyse préalable rigoureuse.

Conclusion

Les décisions américaines de 2025-2026 ont cristallisé un principe que le droit européen avait déjà posé sous une autre forme : les données confiées à un outil IA ne disparaissent pas. Elles persistent, elles sont potentiellement communicables, et elles peuvent se retourner contre leur auteur si aucune gouvernance n ‘a été mise en place en amont.

La protection de vos données dans un environnement IA repose sur trois piliers indissociables : le choix éclairé des outils, la formalisation d ‘une politique interne contraignante, et la formation continue des équipes.

 

Le cabinet Dreyfus accompagne ses clients dans la gestion de dossiers de propriété intellectuelle complexes, en proposant des conseils personnalisés et un soutien opérationnel complet pour la protection intégrale de la propriété intellectuelle.

Dreyfus et Associés est en partenariat avec un réseau mondial d ‘avocats spécialisés en Propriété Intellectuelle.

Nathalie Dreyfus avec l ‘aide de toute l ‘équipe du cabinet Dreyfus.

 

FAQ

 

1. Les conversations avec ChatGPT ou Claude sont-elles confidentielles ?

Par défaut, dans les versions grand public, non. Les conditions générales de la plupart des plateformes IA prévoient la possibilité de collecter les entrées, de les utiliser pour améliorer les modèles et de les partager avec des tiers. Les versions entreprise (API ou abonnements professionnels) offrent généralement des garanties de non-utilisation à des fins d ‘entraînement, mais ces garanties doivent être vérifiées contractuellement au cas par cas.

2. Un avocat peut-il utiliser l ‘IA sans violer le secret professionnel ?

Oui, sous conditions strictes. L ‘outil utilisé doit garantir contractuellement la confidentialité des données saisies, aucune donnée identifiante du client ne doit être partagée sans nécessité, et toute sortie IA doit être vérifiée de manière indépendante avant utilisation officielle. L ‘affaire Heppner montre qu’une utilisation d ‘IA sans encadrement juridique peut détruire le bénéfice du secret professionnel.

3. Quelles données ne doivent jamais être saisies dans un outil IA grand public ?

Toute donnée susceptible d ‘être qualifiée de confidentielle ou stratégique : données personnelles de clients au sens du RGPD, informations couvertes par le secret des affaires, données relatives à un litige en cours ou prévisible, contenus couverts par le secret professionnel de l ‘avocat, et toute information pouvant identifier une partie à un contrat ou une procédure.

4. Les sorties d ‘une IA peuvent-elles être protégées par le droit d’auteur ?

En droit français, la protection par le droit d’auteur requiert une œuvre de l ‘esprit originale portant l ’empreinte de la personnalité de son auteur, une condition que les sorties purement automatisées d ‘un LLM ne satisfont généralement pas. Un choix créatif humain significatif dans la formulation des prompts ou dans la sélection des sorties peut, selon les circonstances, ouvrir une protection partielle.

5. Que faire si des données sensibles ont déjà été saisies sans précaution dans un outil IA ?

Agir sans délai : vérifier les paramètres de l ‘outil (désactivation de l ‘historique), exercer le droit à l ‘effacement auprès du fournisseur si applicable, notifier le DPO, évaluer si une violation de données au sens du RGPD doit être déclarée à la CNIL, et prendre immédiatement des mesures de préservation si un litige est prévisible.

 

Cette publication a pour objet de fournir des orientations générales au public et de mettre en lumière certaines problématiques. Elle n ‘a pas vocation à s ‘appliquer à des situations particulières ni à constituer un conseil juridique.