Découvrez un décryptage clair d'un enjeu concret, avec un regard juridique et des solutions pratiques.

‍

Aujourd’hui, nous explorons les implications pratiques de l’opt-out :

- Pour les fournisseurs de systèmes d’IA,

- Pour les individus et entreprises souhaitant protéger leurs contenus et bases de données

Rappel : un fournisseur d’IA souhaitant se prévaloir de l’exception de fouille de textes et de données afin d’utiliser les données en question pour entraîner son IA doit remplir deux conditions :

- Un accès aux données licite : ce sera le cas s’agissant des contenus librement accessibles, ou encore qui sont accessibles grâce à un accord contractuel, par exemple un abonnement.

- L'absence d’opt out sur les données.

A l’inverse, un créateur de contenus ou l’exploitant d’un site internet qui ne souhaite pas que son contenu soit utilisé pour entraîner des IA doit l’indiquer via l’opt-out.

👉 Comment est-ce que cela va fonctionner en pratique?

Comment mettre en œuvre l’opt-out? ⚙️

Les textes (tant européen que français) visent des “procédés lisibles par machine”.

On peut s’interroger sur ce que recouvre cette expression : doit-il forcément s’agir de mesures techniques ou une mention dans des conditions générales d’utilisation est-elle suffisante?

Via des conditions générales? 📃

Le Tribunal régional de Hambourg a eu l’occasion de se prononcer sur la question dans l’affaire récente LAION c/ Robert Kneschke.

Il s’agit de la première décision en la matière sur le territoire européen.

Les juges allemands ont estimé que la mise en œuvre de l’opt-out dans des conditions d’utilisation, bien que rédigée sous la forme d’un texte en langage naturel, répondait aux exigences de lisibilité par machine posées par la directive européenne de 2019.

Cette position va dans le sens du considérant 18 de la directive, qui envisage parmi les procédés lisibles par machine « les conditions générales d’utilisation d’un site internet ou d’un service »

Via des mesures techniques? 💻

Aujourd’hui, plusieurs technologies permettent aux titulaires de droits de signaler aux moissonneurs de données les conditions d’utilisation de leurs contenus. Ces solutions reposent sur deux grandes approches :

🔍 La localisation des contenus

La première approche  repose sur la localisation des contenus, identifiant les œuvres en fonction de leur emplacement virtuel (site web ou un domaine).

Des outils tels que les protocoles robots.txt et ai.txt, les meta-tags spécifiques (par exemple, « noai » de DeviantArt), ou encore les registres comme « do-not-train », en sont des exemples courants.

🆔 L’identification des contenus

Cette approche utilise des métadonnées ou des identifiants uniques pour associer les œuvres à leurs propriétaires. Des initiatives comme l’ISCC (International Standard Content Code) ou la coalition C2PA standardisent ces processus pour retracer la provenance des contenus.

Certaines plateformes combinent les deux approches, comme haveibeentrained.com ou TDMRep par exemple.

Cependant, ces technologies présentent des limites :

- Leur adoption est inégale

- Leur efficacité peut varier en fonction du type de contenu (texte / images / vidéos)

- Enfin, des technologies comme robots.txt sont parfois délibérément ignorées par certains acteurs.

La création d’un système universel et efficace pour tous les types de contenus semble donc difficile. En outre, les titulaires de droits ne contrôlent pas toujours les publications de leurs œuvres.

En l’état actuel, il est donc difficile d’envisager une mise en œuvre réellement efficace de l’opt-out.

📑 Vers un registre européen ?

Le Rapport de mission sur l’intelligence artificielle de la Commission européenne propose une piste ambitieuse : un registre centralisé des droits basé sur des identifiants unitaires.

L'idée est de centraliser les informations relatives aux œuvres et à leurs titulaires, en leur attribuant des identifiants uniques.

Cela permettrait une identification claire et uniforme des contenus protégés, simplifiant ainsi les processus de licence et d'utilisation. Ce registre pourrait également permettre à terme de mettre en œuvre un marché des licences destinées à l’entraînement des modèles d’IA.

Mais cette proposition soulève des défis importants :

- Responsabilités : que se passera-t-il en cas d’erreur ou d’omission ?

- Ressources : la mise en place et la maintenance d’un tel registre seraient lourdes.

- Perceptions : certains ayants droit craignent qu’un contenu non référencé soit perçu comme libre d’utilisation.

👉 Des éclaircissements de la Commission européenne sont attendus pour répondre à ces questions et accompagner les ayants droit face à ces enjeux.

Qui peut mettre en œuvre l’opt-out? 👤

- Les titulaires de droits, qu’ils soient des créateurs individuels, des entreprises, ou des institutions, peuvent utiliser les technologies susvisées pour signaler leurs préférences concernant l’utilisation de leurs contenus lorsqu’ils en maîtrisent la diffusion.  

- Mais ces mêmes entités peuvent également consentir des licences à des tiers sur un contenu ou sur leur base de données. Il importe alors de penser l'opt out également au niveau du licencié. A défaut, les contenus du titulaire pourraient être scrappés ailleurs que sur le site d’origine du titulaire.

👉 Si le titulaire de droits a mis en place un opt out via des mesures techniques, il pourra imposer contractuellement à son licencié de respecter ces mesures et de veiller à ce qu’il n’y ait pas de réutilisation des données.

👉 Lorsque le titulaire de droits n’a pas les moyens techniques ou matériels pour rattacher l’opt out à la donnée, il peut imposer contractuellement au licencié de le mettre en œuvre, a minima en communiquant sur cet opt out avec les utilisateurs finaux, par exemple via ses conditions générales.

Enfin, les plateformes en ligne, en tant qu’intermédiaires hébergeant les contenus de leurs utilisateurs, peuvent intégrer des mécanismes d’opt-out pour protéger ces contenus ou faciliter leur gestion par les créateurs.

Qui doit prouver quoi? 👤

Est-ce au titulaire de droits de prouver qu’il a correctement mis en œuvre l’opt-out?

Ou est-ce au fournisseur du modèle d’IA de prouver qu’il l’a respecté?

Le Règlement européen sur l’IA semble pencher pour cette dernière solution, puisqu’il impose aux fournisseurs de modèles d’IA à usage général de :

- Mettre en place une politique pour identifier et respecter l’opt-out

- Mettre à disposition du public un “résumé suffisamment détaillé” du contenu utilisé pour entraîner leur modèle, conformément à un modèle qui doit être fourni par le Bureau de l’IA (Le Conseil Supérieur de la Propriété Littéraire et Artistique a missionné un groupe de travail présidé par Alexandra Bensamoun pour réaliser une proposition de modèle, qui est accessible ici).

Cette obligation entrera en application le 2 août prochain.

On peut toutefois se demander, lorsque le rapport ne mentionne pas une source utilisée, si ce sera au fournisseur de prouver qu’il n’a pas utilisé une source ou si ce sera au titulaire de droit de démontrer que le modèle d’intelligence artificielle a été entraîné sur la base de son contenu alors qu’il avait communiqué son opt out par un procédé lisible par machine.

Rapporter une preuve négative étant impossible, ce sera vraisemblablement la dernière alternative.

Une exigence croissante de transparence 📌

On peut s’attendre à ce que les clients des fournisseurs de modèles d’IA deviennent de plus en plus exigeants sur la traçabilité des données utilisées pour l’entraînement des modèles.

Certaines négociations contractuelles intègrent déjà des demandes de justification quant à la légalité des sources exploitées.

👉 Cette tendance pourrait se renforcer avec l’ajout de clauses d’audit dans les contrats, obligeant les fournisseurs à donner accès à leur documentation et/ou leur technologie afin de justifier qu’ils respectent les obligations liées à l’opt-out.

En pratique, que faire ? 🛠️

À ce stade, en l’absence de solution technique harmonisée et universellement adoptée, nous recommandons :

🔹 Côté titulaire de droits :

✔️ Intégrer systématiquement une mention d’opt-out dans les conditions générales d’utilisation.

✔️ Compléter cette approche par des mesures techniques lorsque cela est possible (protocoles, métadonnées, registres).

✔️ En cas de licence sur le contenu, s’assurer que le licencié respecte / met en œuvre à son tour l’opt-out.

🔹 Côté fournisseur de modèles d’IA :

✔️ Vérifier systématiquement les conditions générales d’utilisation et les protocoles techniques (robots.txt, meta-tags, registres) avant d’exploiter des contenus.

✔️ Conclure des accords avec les ayants droit lorsque l’opt-out est activé ou lorsque les droits d’utilisation nécessitent une licence.

✔️ Documenter toutes les sources utilisées afin de pouvoir produire, dès août 2025, le « résumé suffisamment détaillé » exigé par le Règlement européen sur l’IA.

P.s : Retrouvez le décryptage de l’opt-out et de l’exception de Text and Data Mining dans notre dernier article disponible ici

‍

‍