Fiche – Secret des affaires et intelligence artificielle

14 juillet 2026.

Présentation générale

Définition

Le secret des affaires protège certaines informations confidentielles présentant une valeur économique pour leur détenteur. En droit français, l’article L. 151-1 du Code de commerce subordonne cette protection à trois conditions cumulatives :

  1. l’information ne doit pas être généralement connue ou aisément accessible aux personnes familières du secteur concerné ;
  2. elle doit présenter une valeur commerciale, effective ou potentielle, en raison de son caractère secret ;
  3. son détenteur doit avoir pris des mesures de protection raisonnables pour en préserver la confidentialité. (Légifrance)

Dans le domaine de l’intelligence artificielle, le secret peut porter sur :

  • le code source ;
  • les poids d’un modèle ;
  • son architecture ;
  • ses méthodes d’entraînement ;
  • ses jeux de données ;
  • ses paramètres de réglage ;
  • ses instructions système ;
  • ses évaluations internes ;
  • ses mécanismes de sécurité ;
  • ses informations commerciales ;
  • les données confidentielles introduites dans le système par ses utilisateurs.

La relation entre secret des affaires et IA est double. L’IA peut elle-même constituer un actif secret, mais elle peut également devenir un vecteur de divulgation, d’extraction ou de reconstitution d’informations confidentielles.

Contexte

Les entreprises utilisent aujourd’hui des systèmes d’IA pour analyser des contrats, résumer des documents internes, assister la recherche et développement, produire du code, traiter des données commerciales ou exploiter des connaissances métier.

Ces usages supposent souvent la transmission au système de documents sensibles :

  • projets de contrats ;
  • stratégies commerciales ;
  • listes de clients ;
  • procédés industriels ;
  • résultats de recherche ;
  • politiques tarifaires ;
  • données financières non publiques ;
  • plans de lancement ;
  • dossiers contentieux ;
  • analyses juridiques internes.

La fiche Dabo Tibi Ius consacrée à la confidentialité des avocats identifie précisément, parmi les questions ouvertes, l’utilisation de modèles publics, l’entraînement sur des documents confidentiels, les transferts internationaux et la responsabilité en cas de fuite de données. Ces préoccupations dépassent la profession d’avocat et concernent toute organisation utilisant une IA externe pour traiter des informations stratégiques. (Dabo Tibi Ius)

Enjeux

Les principaux enjeux sont :

  • la qualification des informations comme secrets des affaires ;
  • la prévention de leur intégration dans des corpus d’entraînement ;
  • la maîtrise de leur conservation par le fournisseur ;
  • le risque de mémorisation ou de restitution ;
  • la protection contre les attaques d’extraction ;
  • l’encadrement des salariés et prestataires ;
  • la conciliation entre transparence réglementaire et confidentialité ;
  • la preuve des mesures de protection raisonnables ;
  • la réparation des divulgations ou utilisations illicites.

Analyse documentaire de la base Dabo Tibi Ius

L’analyse des publications connexes fait ressortir cinq enseignements.

1. La confidentialité doit être organisée avant l’usage de l’IA

La Fiche – Confidentialité des avocats et intelligence artificielle, publiée le 25 juin 2026, souligne que l’utilisation d’une IA publique peut entraîner la communication de documents à un prestataire extérieur, leur conservation ou leur réutilisation selon les paramètres et conditions du service.

Son apport est transposable aux entreprises : une information ne doit pas être introduite dans un système avant que soient vérifiés :

  • l’identité des destinataires ;
  • la localisation des traitements ;
  • la politique de conservation ;
  • l’éventuelle réutilisation à des fins d’entraînement ;
  • les possibilités d’accès par les équipes du fournisseur ;
  • les mesures de sécurité ;
  • les clauses contractuelles.

Source Dabo Tibi Ius :
Fiche – Confidentialité des avocats et intelligence artificielle, 25 juin 2026https://dabotibius.ai/fiche-confidentialite-des-avocats-et-intelligence-artificielle/

2. La protection suppose une gouvernance documentaire

La Fiche – Gouvernance des données, publiée le 26 juin 2026, présente la gouvernance comme l’ensemble des processus, responsabilités et mécanismes permettant de gérer les données de manière sécurisée, transparente et conforme tout au long de leur cycle de vie. La base Dabo Tibi Ius en fait un préalable au déploiement maîtrisé de l’IA. (Dabo Tibi Ius)

Cette approche est directement liée au troisième critère de l’article L. 151-1 du Code de commerce : une entreprise qui n’identifie pas ses informations sensibles, n’en limite pas l’accès et n’encadre pas leur utilisation dans les outils d’IA peut éprouver des difficultés à démontrer qu’elle a pris des mesures raisonnables pour en préserver le secret.

Source Dabo Tibi Ius :
Fiche – Gouvernance des données, 26 juin 2026https://dabotibius.ai/fiche-gouvernance-des-donnees/

3. La traçabilité permet de démontrer les mesures de protection

La Fiche – Traçabilité et intelligence artificielle, publiée le 27 juin 2026, rattache la traçabilité à la capacité de documenter, enregistrer et reconstituer les étapes du cycle de vie d’un système d’IA. (Dabo Tibi Ius)

Dans le contexte du secret des affaires, cette traçabilité doit notamment permettre d’établir :

  • qui a envoyé une information au système ;
  • à quelle date ;
  • dans quel environnement ;
  • avec quels paramètres de confidentialité ;
  • à quelles fins ;
  • quelles sorties ont été produites ;
  • qui a ensuite accédé à ces sorties.

Source Dabo Tibi Ius :
Fiche – Traçabilité et intelligence artificielle, 27 juin 2026https://dabotibius.ai/fiche-tracabilite-et-intelligence-artificielle/

4. L’audit doit couvrir les flux d’informations confidentielles

La Fiche – Audit des systèmes d’IA, publiée le 22 juin 2026, envisage l’audit comme un instrument de vérification de la conformité juridique, technique et organisationnelle. (Dabo Tibi Ius)

Un audit portant sur le secret des affaires devrait examiner :

  • les données autorisées et interdites ;
  • la configuration des outils ;
  • les droits d’accès ;
  • les journaux d’activité ;
  • les sous-traitants ;
  • la réutilisation des données ;
  • les tests de fuite ;
  • les procédures de retrait et de suppression ;
  • la gestion des incidents.

Source Dabo Tibi Ius :
Fiche – Audit des systèmes d’IA, 22 juin 2026https://dabotibius.ai/fiche-audit-des-systemes-ia/

5. Le contrat constitue un instrument essentiel de protection

La Fiche – Droit des contrats et intelligence artificielle, publiée le 13 juin 2026, souligne le rôle de la documentation contractuelle dans la répartition des obligations et des responsabilités entre fournisseur, intégrateur et utilisateur.

Pour le secret des affaires, le contrat doit notamment déterminer :

  • la propriété des données et des résultats ;
  • les finalités autorisées ;
  • l’interdiction de réutilisation ;
  • la durée de conservation ;
  • les engagements de confidentialité ;
  • les mesures de sécurité ;
  • les conditions de recours aux sous-traitants ;
  • la notification des incidents ;
  • les modalités de restitution ou de suppression ;
  • la coopération en cas de contentieux.

Source Dabo Tibi Ius :
Fiche – Droit des contrats et intelligence artificielle, 13 juin 2026https://dabotibius.ai/fiche-droit-des-contrats-et-intelligence-artificielle/


Points essentiels

  • Toutes les informations confidentielles ne constituent pas automatiquement des secrets des affaires.
  • L’entreprise doit pouvoir démontrer les trois conditions prévues par l’article L. 151-1 du Code de commerce.
  • Une information transmise sans précaution à une IA publique peut perdre, selon les circonstances, une partie de sa confidentialité pratique et fragiliser la preuve des mesures raisonnables de protection.
  • Les prompts, sorties, journaux techniques, poids et jeux de données peuvent eux-mêmes contenir ou révéler des secrets.
  • Le secret des affaires ne donne pas un monopole absolu sur l’information.
  • La découverte ou la création indépendante est licite.
  • L’observation, l’étude, le démontage ou le test d’un produit licitement détenu peuvent être permis, sauf restriction contractuelle.
  • Le secret ne peut pas être opposé dans toutes les situations, notamment aux autorités légalement compétentes ou à certaines alertes d’intérêt général.
  • L’AI Act concilie les obligations de transparence avec la protection des secrets d’affaires.
  • La protection repose autant sur les mesures techniques et organisationnelles que sur les clauses contractuelles.

Informations d’IA susceptibles d’être protégées

Code source et architecture

Le code d’un système, sa structure logicielle, ses pipelines, ses méthodes de déploiement ou ses mécanismes d’optimisation peuvent constituer des secrets lorsqu’ils ne sont pas accessibles au public, présentent une valeur commerciale et font l’objet de mesures de protection.

Le droit d’auteur sur le logiciel et le secret des affaires peuvent se cumuler. Le premier protège la forme originale du programme ; le second peut protéger des informations techniques ou commerciales plus larges, sous réserve des conditions légales.

Poids et paramètres du modèle

Les poids résultent du processus d’entraînement. Ils peuvent représenter un investissement considérable et être protégés lorsque leur diffusion permettrait à un concurrent de reproduire ou d’exploiter le modèle.

La qualification doit cependant être appréciée concrètement. Des poids librement accessibles ou diffusés sous une licence ouverte ne présentent plus le même caractère secret.

Jeux de données

Peuvent notamment être concernés :

  • des données industrielles ;
  • des corpus internes ;
  • des historiques de transactions ;
  • des annotations spécialisées ;
  • des données de tests ;
  • des jeux d’instructions propriétaires ;
  • des exemples élaborés par des experts.

Un même corpus peut relever simultanément du secret des affaires, du droit d’auteur, du droit des bases de données, du RGPD ou de restrictions contractuelles.

Méthodes d’entraînement et savoir-faire

Les procédés de nettoyage, de sélection, d’annotation, de réglage fin, d’évaluation et d’alignement peuvent traduire un savoir-faire confidentiel présentant une valeur économique.

Prompts et instructions système

Une instruction système peut révéler :

  • les règles métier ;
  • les critères décisionnels ;
  • les méthodes internes ;
  • les mécanismes de contrôle ;
  • les limites de sécurité ;
  • les stratégies de réponse.

Les attaques dites de prompt injection ou d’extraction d’instructions peuvent ainsi porter atteinte à des informations confidentielles.

Résultats et évaluations internes

Les rapports de tests, taux d’erreur, vulnérabilités connues, incidents, feuilles de route et performances non publiées peuvent également être protégés.


Principaux risques créés par l’IA

Introduction de secrets dans une IA publique

Le risque le plus courant résulte de la copie d’un document confidentiel ou d’une information stratégique dans une interface accessible en ligne.

La qualification juridique dépend notamment :

  • des conditions contractuelles du service ;
  • de la réutilisation ou non des données ;
  • de leur durée de conservation ;
  • des personnes susceptibles d’y accéder ;
  • des paramètres choisis par l’utilisateur ;
  • des mesures internes adoptées par l’entreprise.

La seule utilisation d’un service externe ne fait pas automatiquement disparaître la protection. Elle peut néanmoins affaiblir la démonstration du caractère effectivement secret lorsque la transmission n’a été assortie d’aucune précaution.

Réutilisation pour l’entraînement

Lorsque le fournisseur se réserve le droit d’utiliser les entrées ou sorties afin d’améliorer ses modèles, des informations confidentielles peuvent être intégrées à un processus d’entraînement ou d’évaluation.

La protection suppose alors une interdiction contractuelle claire ou le recours à une offre garantissant l’absence d’entraînement sur les données du client.

Mémorisation et restitution

Certains modèles peuvent mémoriser des fragments de leurs données ou restituer des informations proches de celles qui leur ont été fournies. La réalisation concrète de ce risque dépend du modèle, de l’architecture, de la fréquence des données et des mécanismes de protection.

Attaques d’extraction

Un tiers peut tenter de reconstituer :

  • des données d’entraînement ;
  • les instructions système ;
  • les règles métier ;
  • la logique d’un modèle ;
  • certains paramètres ;
  • les caractéristiques de son architecture.

Ces pratiques peuvent relever d’un accès non autorisé, d’une copie illicite, d’un comportement déloyal ou, selon le procédé utilisé, d’infractions informatiques.

Fuites par les sorties du système

Une IA connectée aux bases internes peut restituer une information à une personne non autorisée si les contrôles d’accès sont insuffisants ou si le système ne respecte pas la segmentation des droits.

Départs de salariés et shadow AI

Le recours non autorisé à des outils d’IA par des salariés — parfois qualifié de shadow AI — accroît le risque de transfert incontrôlé de documents internes vers des prestataires non validés.


Cadre juridique

1. Directive européenne 2016/943

La directive (UE) 2016/943 du 8 juin 2016 harmonise la protection des savoir-faire et informations commerciales non divulgués contre leur obtention, leur utilisation et leur divulgation illicites.

Elle ne crée pas un droit exclusif comparable à un brevet. Elle protège le détenteur contre certains comportements illicites, tout en préservant notamment :

  • la création indépendante ;
  • certaines formes d’ingénierie inverse ;
  • la liberté d’expression ;
  • la mobilité des travailleurs ;
  • les révélations d’intérêt général.

2. Code de commerce

Conditions de protection

L’article L. 151-1 retient les trois conditions de confidentialité, de valeur commerciale et de mesures raisonnables de protection. (Légifrance)

La troisième condition est déterminante en matière d’IA. Peuvent notamment constituer des mesures raisonnables :

  • une classification des informations ;
  • une politique d’usage des IA ;
  • un contrôle des accès ;
  • des engagements de confidentialité ;
  • un chiffrement ;
  • une journalisation ;
  • une segmentation des environnements ;
  • des formations ;
  • des procédures de départ ;
  • des audits ;
  • une gestion des incidents.

Aucune mesure isolée ne garantit la protection. L’appréciation dépend de la valeur de l’information, de la taille de l’entreprise, du risque et des usages du secteur.

Obtention licite

L’article L. 151-3 admet notamment la découverte ou la création indépendante ainsi que l’observation, l’étude, le démontage ou le test d’un produit mis à la disposition du public ou licitement détenu, sauf stipulation contractuelle contraire. (Légifrance)

Cette disposition peut intéresser l’analyse d’un système d’IA accessible par interface. Elle ne signifie toutefois pas que toute extraction massive, tout contournement technique ou toute violation des conditions d’utilisation serait licite.

Obtention illicite

L’article L. 151-4 vise notamment l’accès non autorisé, l’appropriation ou la copie non autorisée d’un document ou fichier numérique contenant le secret, ainsi que les comportements déloyaux contraires aux usages commerciaux. (Légifrance)

Une intrusion dans un dépôt de code, une extraction non autorisée de poids ou la copie d’un corpus interne peuvent ainsi entrer dans son champ.

Utilisation ou divulgation illicite

L’article L. 151-5 prohibe l’utilisation ou la divulgation sans consentement par une personne ayant obtenu illicitement le secret ou agissant en violation d’une obligation de confidentialité ou de limitation d’usage. L’article L. 151-6 étend cette logique à la personne qui savait, ou aurait dû savoir, que l’information provenait indirectement d’une atteinte. (Légifrance)

Exceptions

Le secret n’est pas opposable lorsque la divulgation est requise ou autorisée par la loi, notamment dans l’exercice des pouvoirs d’une autorité administrative ou juridictionnelle. Il ne peut pas non plus neutraliser certaines révélations de bonne foi effectuées dans l’intérêt général, la liberté d’expression ou le droit d’alerte. (Légifrance)

3. AI Act

Le règlement (UE) 2024/1689 impose de nombreuses obligations de documentation et de communication. Il prend parallèlement en compte la nécessité de protéger les droits de propriété intellectuelle, les informations commerciales confidentielles et les secrets des affaires.

Cette conciliation apparaît notamment dans :

  • les informations transmises entre acteurs de la chaîne de valeur ;
  • la documentation fournie aux autorités ;
  • les évaluations des modèles d’IA à usage général ;
  • le résumé du contenu utilisé pour entraîner les modèles ;
  • les pouvoirs de contrôle du Bureau européen de l’IA ;
  • les obligations de confidentialité imposées aux autorités.

Les fournisseurs de modèles d’IA à usage général doivent publier un résumé suffisamment détaillé des contenus utilisés pour l’entraînement, selon un modèle établi par le Bureau de l’IA, tout en tenant compte de la nécessité de protéger les secrets d’affaires et les informations commerciales confidentielles. L’obligation n’équivaut donc pas à la publication intégrale du corpus ou des méthodes d’entraînement. (Eur-Lex)

L’article 78 de l’AI Act impose également des obligations de confidentialité aux autorités et personnes participant à son application. Le secret ne peut toutefois pas être invoqué pour faire obstacle à l’exercice légal de leurs compétences. (Eur-Lex)

4. RGPD

Le secret des affaires et la protection des données personnelles poursuivent des finalités distinctes.

Une donnée peut être :

  • personnelle sans être un secret d’affaires ;
  • un secret d’affaires sans être personnelle ;
  • soumise simultanément aux deux régimes.

Une entreprise ne peut pas opposer de manière générale son secret des affaires afin de neutraliser les droits reconnus aux personnes par le RGPD. La CJUE a notamment jugé, dans l’affaire Dun & Bradstreet Austria, C-203/22, que la protection du secret des affaires doit être conciliée avec le droit de la personne concernée à obtenir des informations utiles sur la logique d’une décision automatisée ; une juridiction ou une autorité doit pouvoir examiner les informations litigieuses et mettre en balance les droits en présence. (Infocuria)

5. Droit du travail

Les salariés restent libres d’utiliser l’expérience et les compétences honnêtement acquises dans l’exercice normal de leurs fonctions. Le secret des affaires ne peut servir à interdire toute mobilité professionnelle.

En revanche, l’exportation de fichiers, de jeux de données, de code, de prompts propriétaires ou de documents confidentiels vers un compte personnel ou une IA externe peut constituer :

  • une faute disciplinaire ;
  • une violation contractuelle ;
  • une atteinte au secret des affaires ;
  • éventuellement une infraction, selon les moyens employés.

6. Droit pénal et infractions informatiques

Le Code de commerce institue principalement un régime de responsabilité civile spécifique. Les mêmes faits peuvent cependant recevoir d’autres qualifications :

  • accès frauduleux à un système de traitement automatisé ;
  • maintien frauduleux ;
  • extraction de données ;
  • abus de confiance ;
  • vol, selon les circonstances et l’évolution jurisprudentielle ;
  • violation d’un secret professionnel ;
  • atteinte aux droits de propriété intellectuelle.

Articulation entre transparence et secret

Une tension structurelle

Les systèmes d’IA font l’objet d’exigences croissantes de :

  • documentation ;
  • explicabilité ;
  • auditabilité ;
  • communication aux autorités ;
  • information des utilisateurs ;
  • transparence sur les données d’entraînement.

Les entreprises invoquent parallèlement la confidentialité de leurs modèles, de leurs données et de leurs méthodes.

Le secret des affaires ne permet pas de soustraire globalement un système au contrôle. Il conduit plutôt à organiser des modalités de communication proportionnées :

  • accès réservé à l’autorité ;
  • communication sous confidentialité ;
  • versions expurgées ;
  • data rooms sécurisées ;
  • expertise indépendante ;
  • limitation des personnes ayant accès ;
  • publication d’un résumé plutôt que des informations brutes.

Explicabilité

Une entreprise peut expliquer les principaux facteurs d’un résultat sans nécessairement révéler son code source, ses poids ou toutes ses règles internes.

À l’inverse, une simple invocation du secret ne suffit pas à justifier une absence totale d’explication lorsque la loi impose une information ou lorsqu’un droit fondamental est en cause.

Audits et autorités

Le secret demeure protégé à l’égard du public, mais il n’est généralement pas opposable aux autorités exerçant légalement leurs pouvoirs de contrôle. Le droit français le prévoit expressément à l’article L. 151-7 du Code de commerce. (Légifrance)


Mesures de protection recommandées

Cartographier les secrets

L’entreprise devrait identifier :

  • les informations stratégiques ;
  • leurs détenteurs ;
  • les systèmes dans lesquels elles circulent ;
  • les outils d’IA susceptibles de les traiter ;
  • leur durée de sensibilité ;
  • les personnes autorisées.

Une qualification trop large, couvrant indistinctement tous les documents internes, risque d’être peu crédible.

Adopter une politique d’utilisation de l’IA

La politique devrait distinguer :

  • les outils autorisés ;
  • les usages interdits ;
  • les données pouvant être introduites ;
  • les informations devant être anonymisées ;
  • les environnements réservés ;
  • les validations nécessaires ;
  • les procédures d’urgence.

Sélectionner l’architecture adaptée

Selon la sensibilité des données, l’organisation peut privilégier :

  • une offre professionnelle sans réutilisation pour l’entraînement ;
  • un environnement dédié ;
  • un hébergement privé ;
  • un modèle local ;
  • une architecture cloisonnée ;
  • une génération augmentée par la recherche avec contrôle des accès.

L’hébergement local n’est pas, à lui seul, une garantie suffisante. Il faut également contrôler les droits, les journaux, les sauvegardes, les mises à jour et les connexions externes.

Encadrer contractuellement le fournisseur

Le contrat devrait traiter :

  • la confidentialité ;
  • l’absence de réutilisation ;
  • la propriété des données ;
  • la propriété ou les droits sur les résultats ;
  • la conservation ;
  • l’effacement ;
  • les sous-traitants ;
  • la localisation ;
  • les audits ;
  • les incidents ;
  • la réversibilité ;
  • la coopération judiciaire ;
  • les indemnités et limites de responsabilité.

Réduire les données transmises

La minimisation peut consister à :

  • supprimer les noms ;
  • remplacer les chiffres sensibles ;
  • utiliser des extraits ;
  • produire des données synthétiques ;
  • compartimenter les requêtes ;
  • exclure les annexes non nécessaires.

Assurer la traçabilité

Les journaux devraient enregistrer les interactions suffisamment sensibles, sous réserve du respect du droit du travail et de la protection des données personnelles.

Former les utilisateurs

La formation doit expliquer que :

  • une IA externe est un destinataire technique ;
  • le caractère convivial de l’interface ne garantit pas la confidentialité ;
  • les sorties peuvent contenir des informations inexactes ou sensibles ;
  • les conditions du service peuvent évoluer ;
  • les comptes personnels ne doivent pas servir à traiter des dossiers professionnels confidentiels.

Tester les risques d’extraction

Des tests peuvent porter sur :

  • les injections de prompts ;
  • les contournements de droits ;
  • la restitution de données ;
  • l’extraction d’instructions ;
  • l’accès croisé entre utilisateurs ;
  • les fuites par les journaux ou connecteurs.

Jurisprudence

CJUE, 27 février 2025, Dun & Bradstreet Austria, C-203/22

Cette affaire concernait l’accès d’une personne à des informations relatives à une décision automatisée. La Cour a considéré, en substance, que l’entreprise ne peut pas se limiter à invoquer le secret des affaires pour refuser toute information. Lorsqu’elle estime que les éléments demandés sont protégés, ceux-ci doivent pouvoir être soumis à l’autorité ou à la juridiction compétente afin qu’elle procède à une mise en balance. (Infocuria)

Apport pour l’IA : le secret des affaires constitue un intérêt légitime, mais non un obstacle absolu aux droits d’accès, d’explication ou de contestation.

CJUE, 17 novembre 2022, Antea Polska, C-54/21

Dans le domaine des marchés publics, la Cour a rappelé que toutes les informations transmises par une entreprise ne peuvent pas être classées automatiquement comme confidentielles. L’autorité doit apprécier concrètement leur caractère confidentiel et concilier celui-ci avec les exigences de transparence et de recours effectif. (curia)

Apport pour l’IA : la qualification de secret doit être justifiée information par information ; une revendication globale portant sur l’intégralité d’un modèle, d’un audit ou d’une documentation est susceptible d’être contestée.

Conseil d’État, 10 février 2022, n° 456503

Le Conseil d’État a appliqué les critères de l’article L. 151-1 du Code de commerce dans un litige relatif à des informations commerciales communiquées à l’administration. La décision illustre le contrôle concret des conditions légales et l’articulation du secret avec les obligations de l’administration. (Légifrance)

État de la jurisprudence propre à l’IA

La jurisprudence française portant spécifiquement sur une fuite de secret des affaires par un modèle génératif reste limitée. Les litiges futurs pourraient concerner :

  • la réutilisation de prompts confidentiels ;
  • la mémorisation de documents internes ;
  • l’extraction de poids ou de données ;
  • les instructions système ;
  • les informations communiquées dans le cadre d’un audit réglementaire ;
  • la responsabilité des salariés, fournisseurs et intégrateurs.

Acteurs

Entreprises utilisatrices

Elles déterminent les informations communiquées au système et doivent organiser leur protection.

Fournisseurs de modèles et de services

Ils définissent l’architecture, les conditions de conservation, la réutilisation des données, les sous-traitants et les mécanismes de sécurité.

Intégrateurs

Ils connectent les modèles aux systèmes internes et jouent un rôle déterminant dans la gestion des accès et des flux.

Salariés et prestataires

Ils sont fréquemment à l’origine des interactions avec les outils. Leur formation et leur encadrement sont essentiels.

Autorités

Sont notamment susceptibles d’intervenir :

  • les juridictions civiles et commerciales ;
  • les juridictions pénales ;
  • la CNIL ;
  • la Commission européenne ;
  • le Bureau européen de l’IA ;
  • les autorités nationales compétentes au titre de l’AI Act ;
  • les autorités sectorielles.

Débats actuels

Un modèle peut-il être intégralement couvert par le secret ?

Une entreprise peut revendiquer la protection de plusieurs composantes, mais elle doit établir les critères légaux pour chacune d’elles. Les connaissances générales, éléments publics, normes communes ou informations devenues facilement accessibles ne sont pas protégés.

L’open source est-il incompatible avec le secret des affaires ?

Non. Une entreprise peut ouvrir certains composants et conserver confidentiels :

  • ses données ;
  • ses processus internes ;
  • ses méthodes de déploiement ;
  • ses évaluations ;
  • ses produits dérivés ;
  • son infrastructure.

Le degré d’ouverture doit néanmoins être compatible avec la licence et avec la réalité de la confidentialité revendiquée.

Le secret peut-il justifier une IA totalement opaque ?

Non. Il doit être concilié avec les obligations légales de transparence, les droits des personnes, les pouvoirs des autorités et les exigences du procès équitable.

Les prompts sont-ils protégeables ?

Ils peuvent l’être lorsqu’ils contiennent un savoir-faire non public, présentent une valeur commerciale et font l’objet de mesures raisonnables de protection. Un prompt banal ou largement diffusé ne répondra généralement pas à ces critères.

L’entreprise perd-elle son secret dès qu’un salarié utilise une IA publique ?

Pas automatiquement. La réponse dépend de l’étendue de la divulgation, des conditions du service, des personnes ayant accès et des mesures prises. L’incident peut cependant fragiliser la protection et doit être traité rapidement.


Actualité récente

Au 14 juillet 2026, l’AI Act poursuit son entrée en application progressive. Ses dispositions relatives aux modèles d’IA à usage général sont applicables depuis le 2 août 2025, tandis qu’une large partie du règlement devient applicable le 2 août 2026. Les entreprises doivent donc préparer simultanément leurs obligations de documentation et les mécanismes destinés à protéger les informations confidentielles communiquées aux partenaires et autorités. (Eur-Lex)

L’arrêt Dun & Bradstreet Austria du 27 février 2025 constitue une évolution importante pour les systèmes automatisés : la protection du secret des affaires doit être conciliée avec les droits d’information et de contestation, sous le contrôle d’une autorité ou d’une juridiction. (Infocuria)


Ressources essentielles

Textes

  • Directive (UE) 2016/943 du 8 juin 2016 sur la protection des savoir-faire et informations commerciales non divulgués.
  • Loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires.
  • Code de commerce, articles L. 151-1 à L. 154-1.
  • Règlement (UE) 2024/1689 sur l’intelligence artificielle.
  • Règlement (UE) 2016/679, dit RGPD.
  • Directive (UE) 2019/1937 relative à la protection des lanceurs d’alerte.
  • Loi n° 2016-1691 du 9 décembre 2016, dite loi Sapin II.
  • Code pénal, dispositions relatives aux atteintes aux systèmes de traitement automatisé de données.

Jurisprudence

  • CJUE, 27 février 2025, Dun & Bradstreet Austria, C-203/22.
  • CJUE, 17 novembre 2022, Antea Polska, C-54/21.
  • Conseil d’État, 10 février 2022, n° 456503.

Publications Dabo Tibi Ius

Fiche – Confidentialité des avocats et intelligence artificielle
25 juin 2026
https://dabotibius.ai/fiche-confidentialite-des-avocats-et-intelligence-artificielle/

Fiche – Gouvernance des données
26 juin 2026
https://dabotibius.ai/fiche-gouvernance-des-donnees/

Fiche – Traçabilité et intelligence artificielle
27 juin 2026
https://dabotibius.ai/fiche-tracabilite-et-intelligence-artificielle/

Fiche – Audit des systèmes d’IA
22 juin 2026
https://dabotibius.ai/fiche-audit-des-systemes-ia/

Fiche – Droit des contrats et intelligence artificielle
13 juin 2026
https://dabotibius.ai/fiche-droit-des-contrats-et-intelligence-artificielle/


FAQ

Qu’est-ce qu’un secret des affaires ?

C’est une information non généralement connue ou aisément accessible, qui présente une valeur commerciale en raison de son caractère secret et que son détenteur protège par des mesures raisonnables.

Une information marquée « confidentiel » est-elle automatiquement protégée ?

Non. Le marquage constitue un indice et une mesure de protection, mais les trois critères de l’article L. 151-1 doivent être réunis.

Peut-on saisir un contrat confidentiel dans une IA générative ?

Cela dépend de l’outil, du contrat conclu avec le fournisseur, de la finalité, des paramètres, de l’absence de réutilisation et des mesures internes. Pour une IA publique non validée, cette pratique est généralement déconseillée.

Le fournisseur peut-il utiliser les prompts pour entraîner son modèle ?

Seulement si ses conditions contractuelles et le droit applicable le permettent. L’entreprise doit vérifier ce point avant toute transmission d’information sensible.

Une fuite par IA fait-elle automatiquement perdre le secret ?

Non. Il faut apprécier l’étendue et les circonstances de la divulgation. Une fuite publique et incontrôlée peut néanmoins faire disparaître le caractère secret.

Le code source d’une IA peut-il être protégé ?

Oui, par le droit d’auteur et, lorsque les conditions sont réunies, par le secret des affaires.

Les poids d’un modèle peuvent-ils constituer un secret ?

Oui, s’ils ne sont pas accessibles, présentent une valeur commerciale du fait de cette confidentialité et font l’objet de mesures raisonnables de protection.

Le secret peut-il être opposé à une autorité chargée de contrôler l’AI Act ?

Il doit être protégé par l’autorité, mais il ne peut pas faire obstacle à l’exercice légal de ses pouvoirs.

Le secret permet-il de refuser toute explication sur une décision automatisée ?

Non. Il doit être mis en balance avec les droits d’information, d’accès et de contestation, comme l’illustre l’arrêt Dun & Bradstreet Austria.

Quelles mesures adopter en priorité ?

Cartographier les secrets, interdire les outils non autorisés, contractualiser l’absence de réutilisation, limiter les accès, former les salariés, journaliser les usages sensibles et organiser une procédure de réponse aux incidents.


Méthodologie : Cette fiche a été générée avec l’assistance de l’intelligence artificielle à partir de la base documentaire et de sources juridiques complémentaires lorsque cela était nécessaire. Elle constitue une synthèse documentaire et ne remplace pas un avis juridique.

Résumé pédagogique

Définition

Le secret des affaires protège une information qui n’est pas généralement connue, qui présente une valeur commerciale du fait de son caractère secret et que son détenteur protège par des mesures raisonnables. En matière d’intelligence artificielle, cette protection peut concerner le code, les poids, les jeux de données, les méthodes d’entraînement, les instructions système ou les documents confidentiels traités par l’outil.

Exemple

Un salarié introduit dans une IA publique un projet de rachat contenant la stratégie, le prix envisagé et des données financières non publiées. Si le service conserve ou réutilise ces informations, l’entreprise s’expose à une fuite et peut éprouver des difficultés à démontrer qu’elle avait pris des mesures raisonnables pour préserver leur confidentialité.

Problématique juridique

L’enjeu consiste à protéger les actifs confidentiels sans faire obstacle aux obligations de transparence, d’audit et d’information imposées par l’AI Act, le RGPD ou les autorités compétentes. Le secret n’est pas absolu : il doit être démontré, protégé et concilié avec les droits des tiers et l’intérêt général.

Cadre légal

Le régime repose principalement sur la directive (UE) 2016/943, les articles L. 151-1 à L. 154-1 du Code de commerce et l’AI Act. Il est complété, selon les informations concernées, par le RGPD, le droit du travail, le droit pénal, le droit d’auteur et les règles relatives aux lanceurs d’alerte.