TrustYourWebsite
Droit d'auteur des images

Code généré par IA et licences open source (Belgique)

Steven | TrustYourWebsite · 15 mai 2026 · Dernière mise à jour : mai 2026

Une SRL belge active dans l'e-commerce reçoit un courriel d'un mainteneur open source basé à Gand. Deux fonctions JavaScript du bundle servi depuis votre domaine .be reproduisent presque mot pour mot un fichier publié sous GPL-3.0 sur GitHub. Le développeur sous-traité par votre agence anversoise a utilisé Cursor pendant le sprint d'octobre. Personne n'a vérifié les en-têtes de licence. La société est inscrite à la BCE sous numéro d'entreprise consultable, et son adresse de contact figure dans les mentions légales conformément au Livre III du Code de droit économique. L'éditeur est identifiable, le code est en ligne, la lettre est partie. Que faire et qui paie.

Cet article répond pour les éditeurs établis en Belgique : champ d'application du Livre XI CDE sur le droit d'auteur, qualification de la licence open source comme contrat opposable en droit belge, voies d'action ouvertes au mainteneur devant le tribunal de l'entreprise compétent, place de la transposition belge de la directive 2024/2853 sur la responsabilité du fait des produits, et hygiène d'ingénierie qui réduit la probabilité que ce courriel arrive.

Chaîne de distribution d'un fragment de code GPL suggéré par IA, lue depuis la Belgique.Schéma en cinq blocs représentant le trajet d'un fragment de code open source d'un dépôt public jusqu'au navigateur d'un visiteur belge. Premier bloc, le poste du développeur belge ou de l'agence sous-traitée, équipé de Copilot, Cursor ou Claude. Second bloc, la sortie du modèle, qui mêle des motifs appris à partir de licences GPL, AGPL, MIT et Apache sans étiquette. Troisième bloc, le commit du développeur dans le dépôt Git de l'agence, sans en-tête SPDX et sans NOTICE. Quatrième bloc, le pipeline de build qui produit le bundle JavaScript livré depuis le domaine en .be ou .brussels de l'éditeur. Cinquième bloc, la communication publique au sens de l'article XI.165 du Code de droit économique, qui matérialise la distribution GPL et déclenche les obligations d'attribution et de mise à disposition des sources. Une barre horizontale au-dessous distingue le code côté serveur, exposition faible sauf AGPL, du JavaScript côté client qui constitue une distribution complète. Encart à droite résumant l'état de l'affaire Doe v. GitHub de janvier 2024 et son écho probable devant un tribunal de l'entreprise belge.Du prompt à la distribution publique en BelgiquePrompt dudéveloppeurCursor / Copilot/ ClaudeSuggestion IApeut reproduiredes motifs desdonnées d'entraînementDépôt agenceaucune métadonnéede licencepréservéeServi depuisvotre domaine BEvisiteurs belgesFR / NL / DEDistribution publiqueLivre XI CDE +obligations GPL / MITdéclenchées iciExposition selon l'emplacement du codeCode côté serveur : exposition plus faible (sauf AGPL)JavaScript côté client : distribution complète aux utilisateurs finaux belgesDoe v. GitHub, janvier 2024Affaire US, applicable par analogie en BEvia la qualification contractuelle de la licence.Le tribunal de l'entreprise belge appliqueraitle Livre XI CDE et le Code civil belge.Où repose le poids de la licenceLe mainteneur qui repère son code s'adresse à l'entité inscrite à la BCE quidistribue le code. C'est l'éditeur du site, pas le développeur ni le fournisseur d'IA.Le contrat avec l'IA reste en arrière-plan. L'éditeur gère la question publique.
Le poids juridique repose sur la dernière étape. Plus on se trouve loin dans la chaîne de distribution, plus on porte au regard du Livre XI CDE.

Ce que l'IA a fait

Les assistants de code comme GitHub Copilot, Cursor, Claude et Cody ont été entraînés sur d'énormes volumes de code source public, dont des dépôts sous licences GPL, MIT, Apache et BSD. L'entraînement n'a pas conservé les métadonnées d'attribution, et les modèles ont appris des motifs plutôt que des fichiers entiers. La sortie est parfois nouvelle, parfois une reproduction quasi-identique d'un fichier d'entraînement précis. L'assistant n'indique pas laquelle, et n'émet ni en-tête SPDX ni mention de copyright sur le résultat.

C'est le fait technique sous-jacent à la question juridique. Le modèle n'est pas autorisé à redistribuer le code d'entraînement, et le développeur n'est pas alerté lorsque la sortie est structurellement proche d'une source précise.

En droit belge, le Livre XI du Code de droit économique (CDE), titre 5, transpose la directive 2001/29/CE et impose l'autorisation préalable du titulaire pour toute reproduction d'une œuvre protégée. L'article XI.165 énonce les droits exclusifs de reproduction et de communication au public. Une licence open source comme la GPL est cette autorisation, conditionnée par des obligations (attribution, partage à l'identique, mise à disposition des sources). Ignorer ces conditions revient à reproduire sans titre, situation que la jurisprudence belge analyse comme une contrefaçon au sens de l'article XI.293 CDE. La Cour de cassation a confirmé (Cass. 5 septembre 2014, RG C.13.0395.N) que le titulaire conserve son monopole tant que les conditions de la licence ne sont pas respectées.

Qui est exposé

L'éditeur du site distribue le code envoyé aux visiteurs. Un navigateur qui charge votre page d'accueil reçoit le bundle JavaScript. Sous la GPL et les licences copyleft similaires, c'est une distribution à l'utilisateur final. L'éditeur est l'entité inscrite à la Banque-Carrefour des Entreprises (BCE) qui exploite le domaine et qui met le code à disposition, qu'il ait écrit la ligne lui-même, que l'agence l'ait écrite ou qu'une IA l'ait suggérée. Pour rappel, le Livre III CDE impose l'affichage du numéro d'entreprise BCE sur le site, ce qui rend l'identification du défendeur immédiate pour un mainteneur qui veut écrire.

C'est la même chaîne de responsabilité que pour les images non licenciées introduites par un prestataire. Version pré-IA : le designer glisse une photo Getty sans droits. Version post-IA : le développeur accepte une suggestion Copilot reproduisant un fichier source GPL. Même structure. La partie exposée est l'éditeur. La répartition interne entre éditeur et agence relève du contrat d'entreprise régi par le Livre 5 du Code civil belge (obligations). Une clause d'indemnisation bien rédigée vous donne un recours contre l'agence, mais ne vous protège pas du mainteneur qui agit en contrefaçon devant le tribunal de l'entreprise de Bruxelles, Anvers ou Liège.

À côté se trouve la question plus large de qui paie lorsqu'un site construit par IA enfreint la conformité en Belgique. La responsabilité RGPD, supervisée par l'APD (Autorité de protection des données) depuis Bruxelles, et l'accessibilité remontent au même titulaire. Le droit d'auteur sur le code généré par IA est le coin droit d'auteur de cette même carte.

Ce que les juges ont effectivement dit

L'affaire phare reste Doe v. GitHub, Inc., déposée en novembre 2022 dans le Northern District of California. Des développeurs anonymes ont poursuivi GitHub, Microsoft et OpenAI sur l'entraînement de Copilot à partir de code open source public. La situation procédurale évolue, et le tableau ci-dessous est un instantané au mai 2026. L'affaire relève du droit américain mais elle façonne le raisonnement des juges européens lorsqu'ils analyseront une licence open source comme un contrat opposable. En Belgique, ce raisonnement passe par l'article 1101 ancien du Code civil (devenu article 5.16 du nouveau Code civil belge) et la jurisprudence Cass. 5 septembre 2014 sur les conditions de validité de la licence.

<!-- LAST VERIFIED: 2026-05-17 -->

État des demandes dans Doe v. GitHub, mai 2026, lecture pour un éditeur belge.

DemandeÉtat au mai 2026Lecture pour votre site en Belgique
DMCA § 1202(b) sur le retrait des informations de gestion du droit d'auteurRejetée définitivement en janvier 2024 pour des sorties "quasi-identiques"Disposition de droit américain sans équivalent direct en droit belge. L'article XI.291 CDE protège les informations sur le régime des droits mais a sa propre jurisprudence. Risque PME belge : faible sur ce moyen.
Violation des termes de licences open source (MIT, GPL, Apache et autres)Autorisée à prospérerLes juridictions belges (Cass. 5 septembre 2014) traitent déjà les licences open source comme des contrats opposables au sens de l'article 5.16 du Code civil belge. Risque PME modéré là où le code côté client distribue la sortie.
Ingérence délictueuse et concurrence déloyaleSolutions mixtes, certaines demandes ont survécuPas directement pertinent pour une PME belge. En BE, les pratiques commerciales déloyales relèveraient du Livre VI CDE, mais ce conflit oppose les demandeurs au fournisseur d'IA, pas l'éditeur du site.
Enrichissement injustifiéRejetéeL'équivalent belge (article 5.135 et suivants du Code civil belge) reste théorique pour ce cas de figure.

Situation procédurale en mouvement. Vérifiez avant de vous y fier.

Doe v. GitHub — état des demandes, mai 2026Tableau à quatre lignes résumant l'état procédural des principales demandes dans Doe v. GitHub au mai 2026, lu pour un éditeur belge. Affaire américaine ; un juge belge la traiterait comme contexte comparatif, pas comme précédent contraignant. La demande DMCA § 1202(b) a été rejetée définitivement en janvier 2024 pour des sorties quasi-identiques. La violation des termes de licences open source a été autorisée à prospérer. L'ingérence délictueuse et la concurrence déloyale ont reçu des solutions mixtes. L'enrichissement injustifié a été rejeté. Chaque ligne note la pertinence pour une PME belge.Doe v. GitHub — état des demandes, mai 2026DemandeÉtat (mai 2026)Lecture pour votre site en BelgiqueDMCA § 1202(b) sur le retraitdes informations de gestiondu droit d’auteurRejetéedéfinitivement, janv. 2024Disposition américaine sanséquivalent direct en droit belge.Article XI.291 CDE a sa proprejurisprudence. Risque PME : faible.Violation des termes delicences open source (MIT,GPL, Apache et autres)Autoriséeà prospérerCass. 5 sept. 2014 traite déjà leslicences open source comme descontrats opposables (art. 5.16 C.civ. BE). Risque PME : modéré.Ingérence délictueuseet concurrence déloyaleMixtecertaines ont survécuPas directement pertinent PMEbelge. Le conflit oppose lesdemandeurs au fournisseur d’IA.Enrichissement injustifiéRejetéePas pertinent PME belge.Instantané mai 2026. Affaire américaine — contexte comparatif en BE. Vérifiez avec le docket.N.D. Cal. 4:22-cv-06823-JST · Trackers : bakerlaw.com/the-copilot-litigation · githubcopilotlitigation.com
Quatre théories de demande. Une rejetée définitivement ; une encore vivante comme contrat ; deux autres sans pertinence directe pour une PME belge.

L'enseignement principal est étroit. Le tribunal californien n'a pas tranché la question de fond : une sortie d'IA substantiellement similaire au code d'entraînement viole-t-elle la licence d'origine ? Ce qu'il a fait, c'est trier les théories. La voie technique du "retrait d'information de gestion du droit d'auteur" sous DMCA § 1202(b) est fermée lorsque la sortie est "quasi-identique avec des variations sémantiquement insignifiantes". La voie contractuelle, qui traite une licence open source comme un accord opposable, reste ouverte. Pour un éditeur belge, c'est cette voie contractuelle qui compte, car la qualification de la licence comme contrat est déjà acquise dans l'ordre juridique national. Mises à jour : tracker BakerHostetler et page du conseil des demandeurs, à lire comme une présentation unilatérale.

Distribution GPL et votre site belge

La question juridique repose sur une question technique. Qu'est-ce qui compte comme distribution au sens d'une licence GPL, et comment cela se lit-il à travers le Livre XI CDE ?

Les licences copyleft de la famille GPL imposent des obligations d'attribution et de mise à disposition des sources à toute personne qui distribue une œuvre couverte. La distribution à un utilisateur final est le déclencheur. Pour un site belge, cela se décline en deux cas, lus à travers l'article XI.165 CDE qui définit la reproduction et la communication au public.

Le JavaScript côté client envoyé au navigateur d'un visiteur belge est une distribution. Chaque chargement livre le bundle à un tiers, c'est le cas type de communication au public au sens du Livre XI. Si le bundle contient du code substantiellement similaire à un fichier sous GPL, les obligations d'attribution et de mise à disposition des sources s'appliquent, et leur méconnaissance ouvre la voie à une action en contrefaçon devant le tribunal de l'entreprise compétent.

Le code côté serveur qui ne quitte jamais votre serveur n'est généralement pas une distribution GPL. L'exception est l'AGPL, dont la section 13 traite l'usage en réseau comme une distribution. La plupart des sites de PME belges ne font pas tourner de backend sous AGPL, donc l'exposition se concentre dans le bundle côté client : validation de formulaire, animations, modales, fonctions utilitaires. Précisément le type de petites fonctions que l'on demande à une IA.

C'est pourquoi cette question pèse plus pour le front-end que pour le back-end. Un plugin WordPress avec PHP côté serveur suggéré par Copilot porte moins d'exposition non-AGPL qu'un composant React livré à chaque visiteur. Pour les boutiques en ligne soumises au Livre VI CDE (pratiques du marché), le bundle côté client est aussi le canal par lequel passent les obligations d'information précontractuelle, ce qui multiplie les couches juridiques sur les mêmes fichiers.

Quel risque réel pour une PME belge

Hiérarchie honnête des probabilités, du plus au moins probable.

Premier scénario : un investisseur ou un acquéreur fait une due diligence sur votre code avant un tour de financement ou une cession de parts. Ses avocats lancent un scanner de licences comme FOSSA, ScanCode ou licensee. Si le scanner repère du code sous GPL dans un produit propriétaire, l'équipe deal pose des questions. Pour une SRL ou une SA belge, ces questions remontent dans le rapport de due diligence et freinent le closing. Résultat habituel : un budget de remédiation et un délai, pas une affaire tuée. C'est le canal le plus fréquent par lequel une PME belge découvre le problème.

Deuxième scénario : un mainteneur open source repère son code dans votre bundle public. Le premier contact est un courriel courtois demandant l'attribution. Ce courriel arrive à l'adresse que vous avez publiée au titre du Livre III CDE sur la page de mentions légales. L'escalade prend la forme d'une notification DMCA à votre hébergeur, qui interrompt le service jusqu'à votre réponse. En Belgique, le mainteneur peut aussi assigner directement devant le tribunal de l'entreprise (Anvers, Bruxelles, Liège, Gand selon le siège social) en action en cessation au titre de l'article XI.334 CDE. Les procès restent rares contre une PME.

Troisième scénario : l'action d'une organisation gardienne d'une licence copyleft, comme la Software Freedom Conservancy. Leur schéma est de longues correspondances d'abord et de cibler des fabricants de matériel ou de grands éditeurs. Le seuil reste haut pour un site PME belge.

En pratique, le risque semaine après semaine pour un site de petite entreprise belge est nul. Il se concentre autour de trois moments : une levée de fonds, une cession ou un mainteneur qui cherche sa fonction reconnaissable. Aucun n'est probable dans un mois donné, mais tous sont prévisibles. À noter pour les éditeurs belges : la prescription quinquennale de l'article XI.336 CDE court à compter de la connaissance du fait, ce qui laisse une fenêtre d'action longue au mainteneur qui découvre tardivement la reproduction.

Mesures pratiques si vous ou votre développeur utilisez des outils d'IA

Cinq choses à faire. Aucune n'est une défense juridique opposable : il s'agit d'hygiène d'ingénierie qui réduit la probabilité que le problème ressorte au mauvais moment.

Premièrement, activez le filtre de duplication dans Copilot, Cursor ou tout assistant qui en propose un. Le filtre bloque les suggestions correspondant au code d'entraînement au-delà d'un seuil de similarité. Il n'élimine pas les sorties quasi-identiques mais réduit le pire des cas. Confirmez le réglage dans la configuration éditeur du développeur, pas seulement sur le compte d'équipe. Pour une agence belge avec plusieurs développeurs, exigez une preuve écrite que le filtre est actif sur chaque poste.

Deuxièmement, faites tourner un scanner de licences avant le déploiement. Outils gratuits : licensee, scancode-toolkit et ort (OSS Review Toolkit). Options commerciales : FOSSA, Snyk Licence et Black Duck. Le scanner lit vos manifestes de packages et l'arbre des sources, et signale les licences qui entrent en conflit avec votre modèle de distribution. Une seule passe sur le bundle de production avant chaque mise en ligne vaut mieux qu'un audit annuel.

Troisièmement, si votre développeur est sur Copilot Business ou Enterprise payant, GitHub propose un engagement d'indemnisation PI contre les réclamations de tiers liées aux sorties de Copilot, sous réserve que le filtre soit actif. C'est un filet contractuel réel mais conditionné, limité aux plans nommés, à vérifier dans les conditions actuelles. Sachez que cet engagement est régi par le droit américain et n'inclut pas explicitement les frais d'une procédure devant le tribunal de l'entreprise belge. Copilot gratuit, Cursor, Claude et Cody n'offrent pas d'équivalent en mai 2026.

Quatrièmement, mettez à jour votre contrat d'agence selon le Livre 5 du Code civil belge. Ajoutez une clause selon laquelle l'agence n'intègre pas de code assisté par IA reprenant des sorties GPL ou AGPL sans notification écrite préalable, et selon laquelle l'agence garantit que le site livré ne porte pas atteinte à des droits de tiers. Prévoyez explicitement la prise en charge par l'agence des frais d'avocat et des dommages-intérêts en cas de réclamation d'un mainteneur. Cela ne vous protège pas du mainteneur qui agit directement, mais cela vous donne un recours interne au sens de l'article 5.246 du Code civil belge en cas de manquement contractuel de l'agence.

Cinquièmement, tenez un software bill of materials pour votre bundle côté client. cyclonedx-bom ou les exports SBOM intégrés aux bundlers modernes listent chaque dépendance avec sa licence. Si une question surgit dans un an, le SBOM de la version concernée fait économiser une semaine. Conservez ces SBOM dans vos archives électroniques au titre du Livre III CDE qui impose la conservation des documents commerciaux pendant sept ans.

Notre scan de conformité gratuit couvre RGPD, cookies, accessibilité et droits d'image sur le site en ligne. Il ne vérifie pas les licences open source, qui relèvent de l'outillage du développeur en interne. Traitez les deux comme des voies parallèles.

Ce qui change au 9 décembre 2026

La Directive (UE) 2024/2853, la nouvelle directive sur la responsabilité du fait des produits défectueux, traite les logiciels et systèmes d'IA comme des produits à partir du 9 décembre 2026. L'article 4 fait entrer les outils d'IA dans le champ. L'article 2(2) exclut les logiciels libres développés hors activité commerciale : le mainteneur open source n'est pas le défendeur d'une action PLD. Le fournisseur d'IA commercial l'est.

La Belgique transpose cette directive en remplaçant la loi du 25 février 1991 relative à la responsabilité du fait des produits défectueux, texte qui a structuré le contentieux belge sur les produits défectueux pendant trente-cinq ans (voir Cass. 19 juin 2009 sur la définition du défaut). La transposition belge doit être adoptée au plus tard le 9 décembre 2026 et abrogera le cœur de la loi de 1991, en ajoutant les nouvelles règles européennes sur les logiciels, l'apprentissage automatique et la charge de la preuve allégée pour les demandeurs.

La portée pour le code généré par IA est étroite. Une PME belge qui subit un préjudice du fait d'un outil d'IA défectueux, par exemple lorsque l'IA produit du code comportant une faille qui entraîne une violation de données avec préjudice pour une personne physique, peut bénéficier d'une nouvelle voie de responsabilité sans faute contre le fournisseur d'IA. La demande porte sur les dommages aux personnes physiques et s'applique aux produits mis sur le marché après le 9 décembre 2026. La PLD n'est pas une voie pour récupérer une sanction APD. La directive responsabilité produits en détail couvre le champ et les exclusions sous l'angle belge.

Ce que cet article n'est pas

Cet article porte sur l'exposition de licence open source lorsqu'une IA écrit du code sur votre site belge. La divulgation des chatbots et l'étiquetage de la copie marketing générée par IA relèvent de l'article 50 du règlement IA, un régime distinct du droit d'auteur sur le code source, supervisé en Belgique par le SPF Économie comme autorité nationale compétente pour l'IA à usage général, et par l'APD lorsque le traitement implique des données à caractère personnel à haut risque. Le versant image vit dans les images générées par IA sur votre site. La variante cookies et accessibilité est la question RGPD plus large pour la Belgique.

Questions fréquentes

Le filtre de duplication de Copilot élimine-t-il le risque ?

Non. Le filtre réduit la probabilité de reproduction littérale des données d'entraînement, ce qui est le pire des cas en droit belge où l'article XI.165 CDE exige une autorisation préalable. Il ne traite pas les sorties quasi-identiques qui ressemblent encore à un fichier open source spécifique. Voyez le filtre comme une réduction de risque, pas comme une protection juridique opposable devant les tribunaux belges.

Suis-je responsable si mon freelance a utilisé Cursor sans m'en parler ?

L'éditeur du site, c'est-à-dire l'entreprise inscrite à la BCE qui exploite le domaine, est la partie qui distribue le code aux visiteurs. Un mainteneur open source qui repère son code dans votre bundle écrit au titulaire du domaine, pas au freelance. Votre freelance vous doit peut-être une correction au titre du contrat d'entreprise (Livre 5 du Code civil belge), mais l'exposition publique vous incombe en tant qu'éditeur.

Cela vise-t-il le code côté serveur ou seulement côté client ?

Surtout le côté client. Le code envoyé au navigateur est une distribution au sens de la GPL et déclenche les obligations d'attribution et de disponibilité des sources, sanctionnables au titre du Livre XI CDE. Le code côté serveur qui ne quitte jamais votre serveur n'est généralement pas une distribution GPL, sauf sous AGPL, où l'usage réseau compte comme distribution au titre de la section 13.

Existe-t-il un outil d'IA pour le code plus sûr que les autres ?

Les forfaits payants Copilot Business et Enterprise incluent une indemnisation PI de GitHub si le filtre de duplication est activé, mais l'engagement est de droit américain et opposable seulement aux conditions contractuelles GitHub. Aucun engagement équivalent n'est standard sur Cursor, Claude, Cody ou les niveaux gratuits de Copilot en mai 2026. Vérifiez les conditions actuelles avant de vous fier à une promesse fournisseur.

Pour aller plus loin

Articles du cluster qui complètent celui-ci :

Cet article est une analyse technique, pas un conseil juridique. L'auteur n'est pas votre avocat. Pour un avis opposable sur une question de licence vivante devant le tribunal de l'entreprise compétent, consultez un avocat inscrit à l'Ordre des barreaux francophones et germanophone (OBFG) ou à l'Ordre des barreaux flamands.

Partager cet article

Vérifiez votre site web maintenant

Analysez votre site web pour les problèmes de copyright et plus de 30 autres vérifications.

Lancer le check gratuit

Guides pour votre site web

Images générées par IA sur votre site (Belgique 2026)

L'article 50(4) du règlement IA s'applique le 2 août 2026. Les quatre couches de risque pour une PME belge avant de publier des images IA.