Auteurs : quelle loi pour agir contre l’IA ?

Actualités, ,
Rapport Azzi/El Hage : Loi applicable aux modèles d'IA générative dans l'UE

Résumé exécutif

Ce rapport de mission présenté au CSPLA le 15 décembre 2025 (Azzi / El Hage) propose une grille de lecture de droit international privé pour déterminer la loi applicable aux atteintes au droit d'auteur (et droits voisins) lorsque l'entraînement d'un modèle est mondial, mais que le service est commercialisé et accessible dans l'Union. Il écarte l'idée d'une règle de conflit « spéciale IA » et recommande d'adapter les règles existantes, en refusant les critères de localisation purement techniques (serveurs, datacenters, cloud), jugés imprévisibles et inopérants. L'analyse repose sur la qualification d'un « délit complexe » liant input (reproduction/entraînement) et output (mise à disposition/résultats), ce qui conduit à relocaliser l'enjeu vers les pays de commercialisation/accessibilité et à assumer une application « mosaïque » des lois selon les territoires ciblés. La lex loci protectionis (Rome II, art. 8) demeure centrale, avec un rôle renforcé du Règlement IA (AI Act) et de la Directive 2019/790 (opt-out TDM) comme leviers de conformité. Le rapport évoque enfin les lois de police/ordre public (avec test comparatif) et rappelle les critères de rattachement aux juridictions françaises (accessibilité et commercialisation/usage en France).

Rapport de mission sur la loi applicable aux modèles d'IA générative commercialisés dans l'Union européenne

Le rapport de mission présenté au CSPLA le 15 décembre 2025 (Azzi / El Hage) propose une grille de lecture de droit international privé pour trancher une question devenue centrale en contentieux : quand l'entraînement d'un modèle est mondial (entendu comme hors de l'Union), mais que le service est commercialisé et accessible dans l'Union, quelle loi nationale gouverne les atteintes au droit d'auteur (et droits voisins) ?

Le rapport intitulé « Rapport de mission sur la loi applicable, en vertu des règles de droit international privé, aux modèles d'intelligence artificielle générative commercialisés dans l'Union européenne » couvre principalement la détermination de la loi applicable (conflit de lois), et plus succinctement la compétence juridictionnelle (conflit de juridictions).

1) Pas de règle "IA", on adapte l'existant

« Aucune règle de conflit spécifique aux modèles d'IA n'existe à ce jour. Moyennant leur adaptation au phénomène, les règles de conflit ordinaires restent cependant applicables. » (p. 5)

Le rapport revendique une méthode de transposition : il s'agit d'importer des solutions déjà connues en matière d'atteintes multi-territoriales en ligne (cybercontrefaçon, focalisation/ciblage) dans l'univers input/output des modèles d'IA générative.

« La recherche a ainsi consisté [...] à s'interroger sur la transposition de solutions adoptées à propos de questions voisines ou dans des domaines voisins. » (p. 12)

2) La localisation "serveurs / lieu d'entraînement" est jugée impraticable

Le rapport considère que les critères de localisation purement techniques (datacenters, serveurs, cloud, copies transitoires, moissonnage en temps réel) ne permettent pas d'obtenir une règle prévisible et opérationnelle en contentieux.

« Cette approche technique de la localisation [...] mène à une impasse. Elle est imprévisible et, surtout, non opérationnelle. ... toute discussion autour de cette localisation technique apparaît sans fin et, en toute hypothèse, ne permet pas de désigner utilement la lex loci protectionis. » (p. 5)

3) Input et output : la clé d'analyse le "délit complexe"

Le cœur de l'argumentation consiste à refuser une lecture "en silos" (input seul) et à qualifier l'ensemble comme un processus d'exploitation : reproduction amont (entraînement) + valorisation aval (mise à disposition / réponses générées).

« La configuration est celle d'un délit dit "complexe", consistant en une dissociation spatiale entre le fait générateur du délit (ici la reproduction au titre de l'input) et le dommage (ici le résultat généré après interrogation de l'IA [...] ) » (p. 6)
« L'input et l'output sont étroitement et inéluctablement liés, de manière indivisible. [...] Les deux événements ne sont donc, en réalité, que les extrémités d'un processus d'exploitation plus global. » (pages 31-32)

Effet pratique : ce raisonnement "relocalise" l'analyse vers l'aval, c'est-à-dire le pays où l'IA est commercialisée / accessible et où la valeur économique se capte.

Incidence : l'effet mosaïque

« La première consiste à admettre que la loi de chacun des pays effectivement ciblés ne gouverne que la part de l'activité qui est dirigée vers le pays en question. Il s'agit ainsi de procéder à une application distributive des lois en présence, chacune voyant sa compétence limitée au dommage subi localement par le titulaire de droits. On parle, pour décrire un tel fractionnement, d'approche "mosaïque" » (p. 25)

« La seconde solution n'a pas ces inconvénients, ... elle consiste à s'en remettre de manière exclusive à la loi - unique - du pays vers lequel le diffuseur dirige principalement son activité, autrement dit à la loi du pays dans lequel celle-ci a son "impact le plus significatif". Il a été proposé, à cette fin, de se fonder sur des mesures d'audience du site litigieux. Serait ainsi seule applicable à tous les éléments du dommage, quelle que soit leur localisation, la loi du pays de la plus forte audience du site. » (p.27) Mais n'étant qu'une solution doctrinale, c'est la première voie qui est suivie au rapport.

4) La lex loci protectionis (Rome II art. 8) reste centrale

Le rapport réaffirme que la règle classique en matière d'atteinte aux droits d'auteur et droits voisins demeure la lex loci protectionis : la loi du pays pour lequel la protection est revendiquée.

« De manière générale, la règle de conflit de lois en matière d'atteinte aux droits de propriété littéraire et artistique désigne la lex loci protectionis, autrement dit la loi du pays pour lequel la protection des droits est revendiquée. » (p. 5)

Pour rappel (texte de la règle) : art. 8(1) Rome II.

4-1) AI Act + Directive 2019/790 : un "levier" de conformité au droit d'auteur UE

Le rapport mobilise le Règlement IA (AI Act) comme un élément renforçant l'idée que l'accès au marché UE emporte des obligations "copyright" (notamment via la politique de conformité et le respect des réservations de droits).

« Les fournisseurs de modèles d'IA à usage général sont tenus [...] de "mett[re] en place [...] une politique visant à se conformer au droit de l'Union en matière de droit d'auteur et droits voisins" » (p. 42, citant art. 53 §1 c)

Le considérant 106 est cité pour souligner une logique "marché UE" indépendante du lieu d'entraînement.

« Tout fournisseur qui met un modèle d'IA à usage général sur le marché de l'Union devrait se conformer à cette obligation, quelle que soit la juridiction dans laquelle se déroulent les actes [...] qui sous-tendent l'entraînement. » (p. 42, citant le considérant 106)

Le pivot "droit d'auteur" retenu est l'opt-out TDM de l'article 4(3) de la Directive 2019/790.

« [...] identifier et respecter la réservation de droits exprimée [...] conformément à l'article 4 §3, de la directive (UE) 2019/790 (opt-out permettant d'échapper à l'exception de fouille de textes et de données). » (p. 6)

4-2) Lois de police, ordre public : "filet de sécurité" (avec test comparatif)

Si la loi nationale n'est pas aussi protectrice que souhaitée, le rapport envisage un mécanisme d'éviction en citant l'idée d'un test comparatif inspiré de la jurisprudence HUK-COBURG (Cette décision de la Cour de justice du 5 septembre 2024 est intervenue à propos du régime de responsabilité civile en cas d'accident de la route).

« Cette législation [...] pourrait ainsi parfaitement prétendre à la qualification de loi de police, conformément aux canons du droit international privé. » (p. 7)
« L'application d'une loi étrangère qui ne donnerait pas la possibilité aux titulaires de droit de s'opposer à la reproduction de leurs contenus au titre de l'input [...] [peut être] contraire à son ordre public international. » (p. 7)
« L'arrêt HUK-COBURG subordonne [...] l'application des lois de police à un "test comparatif". [...] [si l'intérêt public essentiel] ne peut pas être atteint par l'application de la loi désignée. » (p. 57)

5) Reste la question du juge compétent

Les fournisseurs de systèmes d'IA à haut risque établis hors de l'Union doivent désigner un mandataire situé dans l'Union européenne. Ce mandataire est responsable de garantir la conformité avec les obligations du règlement. (art. 22 AI Act).

Deux critères classiques de rattachement aux juges français :

  • Le contenu généré ou exploité par l'IA est accessible en France.
  • Le modèle d'IA est commercialisé ou utilisé en France.

Question en suspens : les actions déjà engagées sont-elles conformes aux recommandations de ce rapport ?

Principaux textes cités

FAQ — Explication pour non-juristes

1) À quoi sert ce rapport (en une phrase) ?
Il sert à répondre à une question très concrète en cas de procès : si un modèle d'IA est entraîné « partout dans le monde » (hors UE) mais vendu/utilisable dans l'Union européenne, quelle loi nationale s'applique pour juger d'éventuelles atteintes au droit d'auteur (et droits voisins) ?
2) Pourquoi le rapport dit qu'on ne peut pas choisir la loi en regardant les serveurs ou le lieu d'entraînement ?
Parce que localiser juridiquement une atteinte au droit d'auteur via des critères purement techniques (datacenters, serveurs, cloud, copies transitoires, moissonnage en temps réel) est jugé imprévisible et inexploitable en contentieux : cela ne donne pas une règle claire, stable et opérationnelle.
3) Que veut dire "input/output" et pourquoi c'est important ?
Le rapport explique qu'il faut regarder ensemble : l'input (reproduction en amont liée à l'entraînement) et l'output (mise à disposition / résultats générés après interrogation). Il qualifie l'ensemble de "délit complexe" : le fait générateur et le dommage peuvent être dans des pays différents, ce qui pousse l'analyse vers l'aval, là où le service est commercialisé et accessible.
4) C'est quoi l'"effet mosaïque" (et qu'est-ce que ça change pour une action en justice) ?
L'"effet mosaïque" signifie qu'on peut appliquer plusieurs lois nationales, chacune pour la part du dommage subi dans le pays concerné (pays "ciblé"/où l'activité est dirigée). En pratique, cela peut fragmenter l'analyse : on raisonne territoire par territoire, au lieu d'une loi unique pour toute l'Europe.
5) Quel est le "socle" juridique cité et quel est le lien avec l'UE ?
Le rapport réaffirme que la règle centrale en matière de droit d'auteur est la lex loci protectionis (la loi du pays pour lequel la protection est demandée), via l'article 8 du règlement Rome II. Il s'appuie aussi sur le fait que l'accès au marché UE entraîne des obligations de conformité, notamment via l'AI Act et la directive (UE) 2019/790 (opt-out TDM), et évoque des "filets de sécurité" possibles (lois de police / ordre public) si une loi étrangère ne protège pas suffisamment.