Corgarashu - stock.adobe.com
Recours collectif contre GitHub Copilot : un long désamorçage
GitHub, Microsoft et OpenAI ont réussi à faire rejeter la majorité des éléments constituant les plaintes qui les opposent depuis la fin de l’année 2022 à des développeurs anonymes. Si l’affaire n’est pas conclue, GitHub se veut « très confiant ».
L’affaire court depuis novembre 2022. GitHub fait l’objet depuis lors d’un recours collectif ciblant GitHub Copilot et Codex d’OpenAI (le modèle sous-jacent). Les cinq plaignants arguent que les outils de la filiale de Microsoft et d’OpenAI reproduisent du code disponible publiquement, en violation des lois étasuniennes concernant les droits d’auteur et la bonne application de licences logiciels. Plus particulièrement, les plaignants reprochent à GitHub Copilot de reproduire « quasi à l’identique » des portions de code sous licence open source dont ils sont les auteurs, sans les mentionner et sans licence associée.
Les avocats de GitHub, de Microsoft et d’OpenAI avaient déposé des motions de rejets en regard des multiples chefs d’accusation.
En janvier 2024, le juge responsable de l’affaire, Jon S. Tigar, avait accepté une bonne partie de ces motions, mais refusé d’en appliquer d’autres. Certaines des plaintes rejetées concernent les articles 1 et 3 de la section 1202 b du DMCA (Digital Millenium Copyright Act).
Cette section du DMCA porte sur la suppression et la modification intentionnelle de toute information sur la gestion des droits d’auteurs et sur la distribution ou l’importation des œuvres ou copies d’œuvres concernées. En janvier, le juge a validé l’argument de la défense considérant que ce passage s’applique à des reproductions identiques d’œuvre, mais précisait que les plaignants pouvaient, dans un temps imparti, amender leur plainte.
Les avocats des plaignants ont demandé au juge, le 27 mars dernier, d’annuler ce rejet, en assurant que la notion de reproduction à l’identique n’est pas un élément caractéristique de la section 1202 b du DMCA. Par ailleurs, le 28 février dernier, ils estimaient que les revendications de deux plaignants étaient toujours valables. Le 15 avril dernier, cette requête a été refusée par le juge, considérant le fait que GitHub Copilot « reproduit seulement des bribes de code à l’identique, ce qui est différent ». D’autres preuves apportées par les plaignants seraient nécessaires pour que le Tribunal entende appliquer les articles 1 et 3 de la section 1202 b du DMCA.
Le bénéfice du doute
Les avocats des plaignants avaient également émis des plaintes « pour ingérence intentionnelle et négligente dans des relations économiques futures, enrichissement injuste, négligence, et concurrence déloyale ». Du fait qu’elle a été déposée en vertu de la législation californienne, le juge a entendu les arguments de représentants légaux de GitHub et d’OpenAI et les a rejetés définitivement, considérant que les plaignants peuvent s’ils le souhaitent réitérer leurs griefs en s’appuyant sur la loi fédérale, principalement le Copyright Act. Le tribunal ajoute qu’il n’est pas convaincu que la plainte pour « ingérence intentionnelle… » soit acceptée au niveau fédéral. La plainte pour concurrence déloyale s’appuie sur la même portion de texte.
Trois des plaignants pourraient réclamer des dommages et intérêts parce qu’ils ont établi, pour l’heure, aux yeux de la Cour, que le code généré par GitHub Copilot était « quasi identique » au leur, sans que l’outil produise les mentions de licences nécessaires.
Microsoft, GitHub et OpenAI s’en défendent en expliquant que les chances que Copilot génère du code identique à une portion existante sont « rares ». La taille des portions de code incriminées serait trop faible afin de justifier un procès pour violation du droit d’auteur au vu des jurisprudences américaines. D’autant que les deux acteurs s’appuient sur le « Fair Use », une disposition du droit américain rendant acceptable l’usage d’éléments sous licence sans en prévenir l’ayant droit tant que le résultat est « transformateur », ici l’entraînement de modèles d’IA.
Depuis, GitHub a mis en place dans Copilot un système pouvant détecter à l’inférence des portions de code tirées d’un projet open source et fournissant des recommandations pour en signaler la licence.
Shelley McKinleyChief Legal Officer, GitHub
Selon Shelley McKinley, Chief Legal Officer chez GitHub, à la fin de la procédure de rejet, sur les douze plaintes initiales, deux d’entre elles pourraient survivre. « Nous en sommes encore au stade de la motion de rejet, ce qui signifie qu’en réalité, les parties de l’affaire n’ont même pas encore été entendues en audience », précise-t-elle, lors d’un entretien mené pendant l’événement Vivatech. L’audience de plaidoirie (pleading) prévue le 16 mai dernier a été décalée au 11 juillet et sera menée par une autre juge (Donna M. Ryu) en charge de l’affaire au sein de la cour du district d’Oakland, en Californie.
« Je rappelle qu’aucune plainte pour violation directe de droits d’auteur n’a été déposée », répète Shelley McKinley. Si l’issue du procès n’est pas encore fixée et que les plaignants ont encore quelques leviers à disposition, GitHub voit le ciel s’éclaircir. « Nous sommes très confiants », assure la responsable légale.
La protection financière proposée par GitHub à ses clients n’a pas encore été activée
La Chief Legal Officer affirme que GitHub a été le premier à proposer une protection financière afin de couvrir les frais engendrés par les plaintes pour violation de copyright ciblant les clients qui utiliseraient GitHub Copilot. Pour en bénéficier, les entreprises doivent nécessairement utiliser le système de filtrages et de mentions des projets open source mentionné plus haut. Depuis le 1er octobre 2023, date de l’activation de cette protection et au 23 mai 2024, GitHub « n’a reçu aucune demande de compensation pour violation de droit d’auteur », assure Shelley McKinley.
« Nous n’observons pas de code généré correspondant au code existant. Nos clients ne le constatent pas non plus et ne sont pas revenus vers nous ».
Le cabinet d’avocats Mishcon de Reya référence sur son site Web une quinzaine d’affaires en cours relatives à l’IA générative aux États-Unis et deux au Royaume-Uni. Les plaignants visent, entre autres, Microsoft, GitHub, Nvidia, StabilityAI, OpenAI, Anthropic, Databricks ou encore Meta.