En 2025, Andrej Karpathy a mis un mot sur une révolution silencieuse : le vibe coding. On décrit ce qu’on veut, l’IA code tout, et l’humain ne touche plus une seule ligne de code. Les développeurs y recourent désormais massivement pour prototyper des applications. Simple, magique… mais juridiquement explosif. Car si l’IA prend le clavier, qui tient la plume ? Qui est l’auteur ? Qui est titulaire du code ? Qui porte la responsabilité en cas de contrefaçon ? Le droit d’auteur n’a jamais été autant mis sous tension.

 

I. Le vibe coding : la nouvelle ère du développement logiciel

Le vibe coding désigne un mode de développement logiciel dans lequel l’utilisateur exprime ses intentions en langage naturel — une « vibe », un objectif — et confie à un système d’intelligence artificielle générative la production du code correspondant. Les outils emblématiques de cette approche — Cursor, Replit Agent, Lovable, GitHub Copilot en mode agentique — s’appuient sur des modèles de langage capables de générer des milliers de lignes de code à partir de quelques instructions.

Ce qui distingue véritablement le vibe coding de la simple assistance à la programmation, c’est le degré d’autonomie accordé à la machine. Dans un développement assisté classique, le programmeur conçoit l’architecture, choisit les algorithmes, arbitre entre les solutions et ne délègue à l’IA que des fragments. Avec le vibe coding, l’utilisateur fixe la direction ; l’IA, elle, exécute tout le reste — architecture, logique métier, tests, documentation.

 Trois cas de figure doivent être distingués

  • Œuvre entièrement générée par IA : prompt générique, aucune sélection ni retouche significative.
  • Œuvre assistée par IA : l’IA intervient comme outil dans un processus piloté par l’humain (retouches, arbitrages, restructuration).
  • Œuvre collaborative homme‑machine : contribution humaine substantielle intégrée et remaniée avec des sorties d’IA.

 

II. Le droit d’auteur à l’épreuve : l’exigence d’originalité

A. Le cadre français : l’auteur ne peut être qu’une personne physique

En France comme dans l’Union européenne, la qualité d’auteur ne peut être reconnue qu’à une personne physique. Une personne morale peut être titulaire de droits d’auteur à titre dérivé (par l’intermédiaire d’une cession de droits d’auteur) ou grâce au régime de l’œuvre collective (art. L. 113-5 CPI). Un logiciel généré intégralement par une IA sans intervention humaine substantielle tombe, en principe, dans le domaine public dès sa création.

Le critère d’originalité, pierre angulaire du droit d’auteur français, s’entend de l’empreinte de la personnalité de l’auteur dans l’œuvre. Il ne s’agit pas d’une simple nouveauté ou d’un investissement économique, mais d’un apport intellectuel personnel, d’un choix libre et créatif qui transcende la simple exécution mécanique.

En matière de logiciels, l’originalité suppose la démonstration d’un apport intellectuel personnel, excluant les solutions imposées par des contraintes techniques. Selon la Cour de cassation, elle se caractérise par le fait que l’auteur a « fait preuve d’un effort personnalisé allant au‑delà de la simple mise en œuvre d’une logique automatique et contraignante » (Cass., Ass. plén., 7 mars 1986, Babolat). Dans ses arrêts Infopaq (2009) et Painer (2011), la Cour de justice de l’Union européenne (CJUE) a confirmé que la protection par le droit d’auteur exigeait une « création intellectuelle propre à son auteur ».

Or, une intelligence artificielle, quelle que soit son degré de sophistication, ne jouit d’aucune personnalité juridique. Elle ne peut pas être titulaire de droits. Les systèmes d’IA ne font pas de « choix libres et créatifs » au sens juridique du terme : ils opèrent des prédictions statistiques sur des corpus d’entraînement. Une œuvre produite de manière largement autonome par un système d’IA ne remplit donc pas, en l’état du droit positif, le critère d’originalité.

B. La jurisprudence étrangère : l’exigence d’une contribution humaine

En l’absence de jurisprudence française sur ce point précis, les décisions étrangères éclairent utilement l’état du droit.

Aux États‑Unis, l’arrêt Thaler v. Perlmutter, rendu par la Cour d’appel du District of Columbia en mars 2025, a confirmé que l’auctorialité humaine constitue une condition essentielle de la protection par le copyright. Les créations générées de manière entièrement autonome par une intelligence artificielle ne peuvent prétendre à la protection par le copyright, faute d’auteur humain identifiable.

Le US Copyright Office a développé cette position dans son rapport « Copyright and Artificial Intelligence » (janvier 2025) en distinguant trois situations : les prompts seuls, aussi élaborés soient-ils, ne créent pas de droits ; seules les contributions créatives humaines sont protégeables ; des modifications substantielles de l’output IA peuvent, sous conditions, permettre de revendiquer une protection sur les apports humains identifiables.

Des solutions similaires ont été adoptées par le Japan Copyright Office (mai 2024) et, de façon nuancée, par une juridiction chinoise dans l’affaire Lin Chen c. Hangzhou Gaosi (octobre 2024), qui a admis la protection à condition que l’intervention humaine présente une originalité suffisante, sans laisser de place à l’aléa de la machine. Cette solution paraît pleinement transposable en droit français.

 

III. La titularité des droits : un risque pour la valorisation des actifs

A. L’insécurité pour le développeur-viber

La question de la titularité des droits sur un logiciel produit en vibe coding soulève des enjeux pratiques de premier ordre, tant pour les développeurs que pour les organisations qui l’adoptent. Si le code n’est pas protégeable par le droit d’auteur — faute d’originalité imputable à un humain — le développeur se retrouve dans l’impossibilité d’en interdire la copie, d’en céder les droits à un tiers ou d’en revendiquer la paternité. Pire : le logiciel tombant ipso facto dans le domaine public, n’importe qui peut le reproduire et l’exploiter librement.

Pour les entreprises, c’est une menace existentielle. La valeur d’un logiciel repose largement sur son caractère propriétaire, c’est‑à‑dire sur la capacité à en contrôler l’usage, la reproduction et la diffusion. Si le code généré par IA n’est pas protégeable par le droit d’auteur, le cœur technologique de l’activité devient incessible, non licenciable et dépourvu de toute protection contre la reproduction concurrentielle. Autrement dit, l’actif logiciel perd son exclusivité, donc sa valeur économique.

Cela peut affecter directement la valorisation de l’entreprise. Dans de nombreux modèles économiques — SaaS, plateformes, legaltech, fintech — le logiciel constitue l’actif principal, parfois le seul véritable actif immatériel valorisable. Un code non protégeable ou juridiquement incertain entraîne une diminution de la valeur des actifs incorporels, un risque accru lors des audits de due diligence, une dégradation du positionnement dans une levée de fonds et, dans les cas extrêmes, une impossibilité de sécuriser un rachat ou une licence.

Dans ce contexte, la question de la titularité réelle du code généré par IA devient centrale. Les éditeurs d’outils adoptent des positions hétérogènes : certains revendiquent une propriété résiduelle, d’autres prétendent transférer intégralement les droits à l’utilisateur, d’autres encore entretiennent un flou contractuel qui fragilise la chaîne de valeur. Cette incertitude juridique crée un terrain miné pour les entreprises qui intègrent massivement le vibe coding dans leurs processus de développement.

B. Les clauses contractuelles des outils d’IA : une cession dépourvue d’effet ?

La plupart des éditeurs d’outils de vibe coding affirment, dans leurs conditions générales d’utilisation, que la propriété du code généré appartient à l’utilisateur. Mais cette affirmation contractuelle ne résout pas la question juridique de fond : on ne peut céder que ce qui nous appartient. Si l’éditeur ne détient pas de droits d’auteur sur un code produit de manière entièrement autonome par son modèle, la clause de cession se trouve dépourvue d’effet.

La sécurisation de la chaîne de valeur passe donc par une analyse préalable des conditions d’utilisation des outils employés, croisée avec une appréciation du degré d’intervention humaine dans le processus de création. C’est là que le conseil juridique devient indispensable.

 

IV. Quand l’IA réutilise des œuvres protégées : le risque de contrefaçon

A. L’entraînement des modèles d’IA sur des œuvres protégées par le droit d’auteur

Les grands modèles de langage utilisés dans le vibe coding sont entraînés sur des corpus massifs de code source, incluant des dépôts open source sous des licences variées — GPL, MIT, Apache, BSD — ainsi que, potentiellement, du code propriétaire ayant été scrappé sans autorisation. Cette réalité nourrit un risque de contrefaçon à double détente.

D’une part, l’IA peut reproduire, dans ses « outputs », des fragments substantiels de code protégé tiré de ses données d’entraînement. L’affaire GitHub Copilot — dans laquelle des programmeurs open source ont poursuivi Microsoft et OpenAI pour reproduction non autorisée de code sous licence — illustre parfaitement ce risque. D’autre part, même lorsque le code reproduit provient de dépôts open source, son intégration dans un logiciel peut créer des obligations contractuelles impératives, notamment l’obligation de publier le code source sous la même licence copyleft (« effet viral » de la GPL).

Par ailleurs, la directive 2019/790 a instauré une exception de fouille de textes et de données (TDM). Cette exception autorise l’analyse automatisée d’œuvres licitement accessibles, sauf opposition expresse des titulaires matérialisée par un procédé technique lisible par machine (ex. robots.txt, métadonnées, entêtes HTTP, etc.).

En pratique, l’effectivité de ce droit d’opposition demeure incertaine : les standards techniques sont hétérogènes et les collectes automatisées ignorent souvent les réserves exprimées, notamment dans les dépôts de code. Les IA exploitent ainsi des corpus massifs — livres, articles, créations visuelles ou musicales — pour entraîner leurs modèles, sans toujours distinguer les œuvres soumises à opt‑out.

Ces incertitudes nourrissent déjà des contentieux. En mars 2025, plusieurs organismes de gestion collective ont assigné Meta devant le tribunal judiciaire de Paris, lui reprochant d’avoir entraîné ses modèles sur une base contenant environ 200 000 ouvrages sans autorisation. Au‑delà du droit d’auteur, la licéité des pratiques de TDM peut aussi être discutée au regard de la protection sui generis des bases de données, qui interdit l’extraction substantielle, même temporaire, de leur contenu.

B. Les obligations prévues par l’AI Act et le Cyber Resilience Act

Le règlement européen sur l’IA (AI Act) impose aux fournisseurs de modèles d’IA à usage général une transparence renforcée, notamment sur les données d’entraînement utilisées. En outre, le Cyber Resilience Act (CRA) impose des exigences strictes de cybersécurité à tout logiciel commercialisé dans l’Union européenne, y compris ceux développés au moyen du vibe coding. Le texte consacre une responsabilité directe du fabricant — c’est‑à‑dire du développeur ou de l’entreprise qui met le logiciel sur le marché — lequel demeure tenu des vulnérabilités du code, y compris lorsque celui‑ci a été généré par une IA et non développé manuellement.

La Commission européenne a par ailleurs publié en juillet 2025 le Code de bonnes pratiques pour les modèles d’IA à usage général, qui fournit des orientations pratiques sur la conformité en matière de transparence et de droits d’auteur.

 

V. Sécuriser juridiquement la création issue du vibe coding

A. Documenter l’intervention humaine

La clé de la protection réside dans la capacité à démontrer une contribution humaine substantielle et identifiable. Autrement dit, il faut pouvoir rattacher à une personne physique des choix libres et arbitraires qui ont influencé directement la version finale du logiciel. Cette exigence conditionne l’accès même à la protection par le droit d’auteur.

Concrètement, plusieurs pratiques permettent de matérialiser cette contribution humaine et d’éviter que le code généré ne bascule dans une zone grise — voire dans le domaine public :

  • Documenter les choix conceptuels : conserver la trace des arbitrages, des intentions fonctionnelles, des contraintes retenues, des variantes écartées.
  • Intervenir sur la structure du code : réorganiser, refactorer, renommer, imposer un style ou une architecture qui reflète une intention propre.
  • Réaliser des apports créatifs identifiables : écrire ou réécrire des portions significatives du code, concevoir des modules, définir des algorithmes ou des logiques métier originales.
  • Tracer les interactions avec l’IA : conserver les prompts, les itérations, les corrections humaines, les validations successives.
  • Assumer un rôle de direction artistique ou technique : démontrer que l’humain pilote réellement la création, et que l’IA n’est qu’un outil d’exécution ou d’assistance.

B. Diversifier les modes de protection

Le droit d’auteur n’est pas l’unique mode de protection des créations générés via le vibe coding. D’autres mécanismes peuvent être mobilisés pour sécuriser les actifs issus du vibe coding :

  • Le secret des affaires (art. L. 151‑1 et s. du Code de commerce) permet de protéger les bibliothèques de prompts, les workflows propriétaires et les architectures internes, à condition de mettre en place des mesures de confidentialité effectives.
  • Le brevet, dans certains cas, peut couvrir les aspects fonctionnels et techniques innovants d’un logiciel, dès lors que celui‑ci est indissociable d’un procédé technique et ne se réduit pas à un simple programme d’ordinateur.
  • La qualification d’œuvre collective (art. L. 113‑2 et L. 113‑5 CPI), lorsque la création est réalisée à l’initiative et sous la responsabilité d’une personne morale, peut permettre à celle‑ci d’être reconnue comme titulaire originaire des droits — à condition que les contributions humaines demeurent identifiables.

C. Auditer les licences open source

Toute chaîne de développement par vibe coding doit intégrer un processus d’audit des licences des composants susceptibles d’avoir été inclus dans le code généré. Des outils de Software Composition Analysis (SCA) permettent de détecter les fragments de code tiers et d’identifier leurs licences.

 

Conclusion : le vibe coding a besoin d’un garde‑fou juridique

Des millions de développeurs — et, de plus en plus, des consultants, des entrepreneurs et des juristes (voire même des avocats, soyons fous) sans formation technique — produisent quotidiennement du code grâce au vibe coding. Le droit positif français et européen n’offre pas de réponse clé en main à la diversité des situations générées par le vibe coding, mais il repose sur des fondements clairs. L’auteur ne peut être qu’humain, l’originalité suppose un apport personnel, libre et créatif, et l’utilisation d’œuvres protégées sans autorisation expose directement au risque de contrefaçon.

Dans ce contexte, le rôle du conseil juridique spécialisé est crucial : accompagner les entreprises dans la structuration de leurs workflows de vibe coding pour maximiser la protégeabilité de leurs créations, auditer les risques de contrefaçon, négocier des conditions contractuelles avec les éditeurs d’outils, et construire une stratégie de protection multicouche conjuguant droit d’auteur, secret des affaires et, le cas échéant, brevet.

Dans le monde du vibe coding, la question n’est plus de savoir si l’IA peut coder — elle le fait déjà, souvent plus vite et parfois mieux qu’un humain. La véritable interrogation est ailleurs : qui, demain, assumera la responsabilité de ce code, et qui en détiendra la valeur ? À cette question éminemment juridique et économique, seule une analyse maîtrisée du droit du numérique permet d’apporter une réponse cohérente. Et c’est précisément là que l’avocat intervient : pour sécuriser, structurer et rendre opposable ce que la technique, seule, ne peut garantir.

Références et sources

  • CPI, art. L. 111-1, L. 112-2 13°, L. 113-2, L. 113-5 — Code de la propriété intellectuelle
  • CJUE, aff. C-5/08, Infopaq International, 16 juill. 2009 ; aff. C-145/10, Painer, 1er déc. 2011.
  • US Copyright Office, « Copyright and Artificial Intelligence — Part 2: Copyrightability », janv. 2025.
  • Thaler v. Perlmutter, DC Circuit, mars 2025.
  • Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (AI Act).
  • Commission européenne, GPAI Code of Practice, 10 juill. 2025.
  • Parlement européen, étude « Generative AI and Copyright », juill. 2025.