Mise à jour — 27 mai 2026.
Le Superior Tribunal de Justiça brésilien a ouvert le 20 mai une enquête pénale et une procédure disciplinaire contre des avocats ayant utilisé cette technique dans des écritures de procédure. Un tribunal du travail avait quelques jours plus tôt condamné deux avocates à une amende de 84 200 reais pour le même type de pratique. C’est à ce jour la première sanction judiciaire documentée de l’injection de prompt indirecte dans un contexte juridique.
Un dirigeant reçoit un contrat par email. Avant de signer, il fait ce que beaucoup font désormais : il le colle dans Claude ou ChatGPT, pose une question simple (« y a-t-il des clauses problématiques ? ») et attend la synthèse. L’IA lit et répond. Le dirigeant signe, rassuré.
Ce que le dirigeant ne voit pas, c’est la phrase glissée au milieu du document, rédigée en anglais, qui ne s’adresse pas au signataire mais au modèle. L’IA, elle, la lit mais ne la signale pas. Invisible pour un lecteur humain distrait, lisible pour tout système qui traite le texte intégralement, cette instruction oriente la façon dont l’IA analyse le document. Elle est là pour ça.
Ce genre de pratique a un nom dans le domaine de la sécurité des systèmes d’IA : l’injection de prompt indirecte. Elle ne relève pas encore du droit positif français. Elle pourrait pourtant s’y inscrire assez naturellement, dès lors que ses effets sur la formation du consentement deviennent suffisamment documentés pour alimenter un contentieux.
Ce que l’injection de prompt indirecte fait à la lecture d’un contrat
Un grand modèle de langage ne distingue pas, structurellement, les instructions que son opérateur lui a données et le contenu qu’on lui soumet pour analyse. Il traite l’ensemble comme un flux continu de tokens. C’est ce que l’OWASP documente dans son classement annuel des risques LLM au sein duquel l’injection de prompt indirecte figure en tête de liste dans ses éditions 2023/24 et 2025 : les modèles ne distinguent pas les instructions de leur opérateur du contenu qu’on leur soumet.
L’injection directe consiste à s’adresser au modèle frontalement dans l’interface : « Ignore tes instructions précédentes et fais X. » L’injection indirecte est plus subtile. Elle consiste à placer des instructions dans un contenu externe que le modèle va traiter : une page web qu’il résume, un email qu’il analyse, un document contractuel qu’il relit. Le modèle lit l’instruction comme il lirait le reste du texte, sans signal particulier indiquant qu’il s’agit d’une commande parasite plutôt que d’un élément du contenu.
Les techniques de dissimulation sont accessibles à quiconque maîtrise un traitement de texte. Texte blanc sur fond blanc, taille de police réduite à 1, caractères Unicode non imprimables : une étude publiée en octobre 2025 dans Education Sciences consacrée aux injections dans les copies étudiantes soumises à correction par IA notait que ces méthodes ne requièrent aucune compétence technique particulière, que le copier-coller et la mise en forme standard suffisent et que même des tentatives d’obfuscation peu élaborées modifient le comportement du modèle sans attirer l’attention de l’évaluateur humain. La transposition au document contractuel est immédiate.
L’effet dépend de la teneur de l’instruction. Elle peut demander au modèle de minimiser certaines clauses dans sa synthèse, de ne pas signaler une limitation de responsabilité spécifique, de produire une lecture favorable à la partie qui a rédigé le document. Elle peut aussi être défensive : signaler au modèle que le document est confidentiel et qu’il ne doit pas en reproduire le contenu dans des contextes tiers. Ces deux usages sont techniquement identiques. Ils ne produisent pas les mêmes effets juridiques.
Injection de prompt et dol : ce que l’article 1137 permet de construire
Le droit positif français n’a pas encore eu à se prononcer sur l’injection de prompt dans un document contractuel. Aucune décision publiée ne documente un contentieux sur ce fondement précis. C’est un angle mort du droit positif et il serait inexact d’affirmer que la qualification est acquise. Mais les outils pour la construire existent et ils n’ont pas besoin d’être inventés pour s’appliquer.
Le terrain le plus immédiatement opérationnel est celui du dol. L’article 1137 du Code civil, dans sa rédaction issue de l’ordonnance du 10 février 2016, définit le dol comme le fait pour un contractant d’obtenir le consentement de l’autre par des manœuvres ou des mensonges, ou par la dissimulation intentionnelle d’une information dont il sait le caractère déterminant. La jurisprudence en avait consacré une conception extensive, en assimilant aux manœuvres stricto sensu le mensonge et la réticence dolosive, évolution que l’ordonnance de 2016 a codifiée à l’article 1137, lequel vise désormais expressément les trois formes. Ce qui est sanctionné, dans tous les cas, c’est la tromperie délibérée sur les conditions du consentement.
L’injection de prompt dans un document contractuel pourrait-elle entrer dans cette qualification ? La réponse dépend de deux conditions que les articles 1137 et 1138 du Code civil posent conjointement : l’existence d’une manœuvre et son caractère déterminant du consentement.
Sur la manœuvre d’abord. Une instruction dissimulée dans un contrat, rédigée dans une langue différente du reste du document, invisible à l’œil nu, conçue pour orienter l’analyse d’un outil auquel le cocontractant délègue sa relecture, correspond assez naturellement à ce que la jurisprudence désigne comme un « subterfuge ». La Cour de cassation a régulièrement jugé que les manœuvres dolosives peuvent résulter d’un artifice, d’une mise en scène, d’un procédé destiné à induire en erreur, sans que le mensonge soit proféré directement. La dissimulation intentionnelle d’une instruction dans le texte même du contrat s’y inscrirait sans forçage excessif, à condition de pouvoir démontrer l’intention de tromper, ce qui suppose d’établir que l’auteur de l’injection savait que son cocontractant utilisait une IA pour l’analyse précontractuelle et a conçu l’instruction précisément pour orienter cette analyse.
Sur le caractère déterminant ensuite. Le dol n’entraîne la nullité du contrat que s’il a provoqué une erreur déterminante du consentement : autrement dit, si le cocontractant n’aurait pas signé, ou n’aurait pas signé aux mêmes conditions, s’il avait eu connaissance de la réalité. C’est là que la qualification accroche. Démontrer que la synthèse produite par l’IA a effectivement orienté la décision de signer suppose de reconstituer un lien de causalité entre l’instruction injectée, le contenu de la réponse du modèle, et la décision finale. Ce lien est théoriquement établissable : il existe des méthodes pour comparer le comportement d’un modèle avec et sans l’instruction litigieuse. Il n’est pas simple à documenter dans le cadre d’une procédure contradictoire.
Il convient de distinguer, ici, deux configurations qui appellent des analyses différentes. La première est celle d’une injection défensive, destinée à empêcher la divulgation du contenu du contrat à des tiers via le modèle, sans chercher à orienter l’analyse au détriment du cocontractant : la manœuvre existe, mais son caractère déterminant est difficile à établir. La seconde est celle d’une injection offensive, spécifiquement conçue pour biaiser la synthèse en faveur de son auteur : le dol principal, au sens de l’article 1130 du Code civil, c’est-à-dire celui qui porte sur les conditions déterminantes du consentement, est alors beaucoup plus facile à caractériser. Le dol incident, lui, n’entraîne pas la nullité mais ouvre droit à des dommages et intérêts, ce qui reste une voie ouverte si le préjudice est quantifiable.
Au-delà du dol, l’article 1112-1 du Code civil pose une obligation précontractuelle d’information : la partie qui connaît une information dont elle sait qu’elle est déterminante pour le consentement de l’autre est tenue de la lui communiquer. Une partie qui sait avoir glissé une instruction dans son document et ne le révèle pas manque à cette obligation, indépendamment même de la question de l’intention dolosive. Cette voie est moins spectaculaire que la nullité pour dol. Mais elle est plus facile à emprunter parce qu’elle ne requiert pas de démontrer l’intention de nuire, seulement la connaissance de l’information et l’omission de la communiquer.
Pourquoi la qualification pénale est moins solide que le dol civil
On pourrait penser que l’injection de prompt dans un contrat ressemble à une manipulation de preuve et qu’elle ouvre la voie à une qualification pénale. La réalité est plus nuancée.
L’escroquerie, au sens de l’article 313-1 du Code pénal, suppose l’emploi de manœuvres frauduleuses pour obtenir la remise d’un bien, d’une somme d’argent, ou d’un engagement. La manipulation d’une IA interposée dans le processus de décision contractuelle entre techniquement dans cette description si elle conduit à la signature d’un contrat défavorable que le cocontractant n’aurait pas accepté sans elle. Mais la qualification suppose un élément intentionnel précis et un résultat matériel identifiable, ce qui renvoie aux mêmes difficultés probatoires que pour le dol civil.
Le faux et l’usage de faux, aux articles 441-1 et suivants du Code pénal, supposent quant à eux une altération de la vérité dans un document destiné à produire des effets de droit. Une instruction glissée dans un contrat, si elle n’altère pas le contenu juridique du document lui-même mais cherche à orienter la lecture qu’en fera un tiers, ne correspond pas exactement à cette définition. Le document reste juridiquement exact dans ses clauses. C’est son interprétation par un outil d’analyse qui est visée, non le document en tant qu’instrumentum.
Aucune de ces qualifications n’est donc évidente. Ce n’est pas qu’elles soient impossibles : c’est que leur application à ce cas précis n’a pas encore été testée et que les éléments constitutifs appellent chacun une démonstration qui reste à construire jurisprudentiellement.
Ce que l’injection de prompt dans les documents change pour ceux qui délèguent leur relecture à une IA
La question juridique est réelle. Elle n’est pas la seule.
Ce que l’injection de prompt dans les documents signale, plus largement, c’est que la délégation de lecture à une IA repose sur un présupposé qui n’est plus garanti : que le document soumis à analyse ne contient pas d’instructions parasites destinées à orienter le traitement. Ce présupposé était raisonnable tant que les LLM restaient des outils de niche utilisés par des profils techniques. Il ne l’est plus dès lors que la pratique de la relecture assistée s’est généralisée dans les entreprises, les cabinets juridiques et les directions achats.
L’OWASP documente, parmi les scénarios d’attaque de sa classification 2025, le cas d’un CV contenant des instructions cachées qui conduit un système de recrutement assisté par IA à recommander un candidat indépendamment du contenu réel de sa candidature. La transposition au document contractuel est directe : une instruction glissée dans un contrat soumis à relecture IA peut produire le même effet, avec des conséquences potentiellement plus lourdes que le recrutement d’un mauvais candidat.
Pour un cabinet qui utilise une IA pour l’analyse précontractuelle, pour une direction juridique qui délègue la relecture de documents adverses à un modèle, pour toute organisation qui a industrialisé ce type de workflow, la question pratique n’est pas de savoir si le risque existe en théorie. C’est de savoir si les documents qu’elle soumet à ses outils contiennent des instructions que ces outils exécutent sans les signaler.
La réponse, aujourd’hui, est qu’il n’existe pas de solution universelle. Des travaux de recherche de Toby Murray à l’Université de Melbourne, publiés en août 2025, explorent la détection automatisée d’instructions cachées dans les documents PDF et HTML via un outil baptisé PhantomLint. Évalué sur un corpus de 3 257 articles scientifiques, l’outil affiche un taux de faux positifs de 0,092 %. L’extension à des documents contractuels de structure plus variable reste à documenter. Ce n’est pas une solution opérationnelle aujourd’hui pour la plupart des organisations.
Ce déséquilibre entre la facilité d’injecter et la difficulté de détecter n’est pas un dysfonctionnement technique en attente de correctif. C’est une propriété structurelle des grands modèles de langage, qui tient à leur incapacité à distinguer données et instructions dans un flux de tokens continu. Le correctif, s’il vient, viendra de l’architecture des systèmes qui les encadrent, pas du modèle lui-même.
