Aller au contenu
accueil@richeravocats.fr

Clés API Google et services d’IA : qui supporte le risque d’une faille que vous ignoriez ?

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email
Clés API Google et services d'IA : qui supporte le risque d'une faille que vous ignoriez ?
Anguerrand Colombet
Anguerrand Colombet
  • Divers

Des milliers d’entreprises découvrent des factures Google astronomiques pour des services d’IA qu’elles n’ont jamais commandés.

En cause : une extension silencieuse des droits d’accès attachés à leurs clés API.

Nous vous proposons ici un décryptage des leviers juridiques pour contester.

Un changement technique aux conséquences imprévues

De nombreuses entreprises utilisent les API Google — pour afficher des cartes, géolocaliser des données, intégrer des services tiers. La clé API qui leur est attribuée est, conformément aux recommandations de Google elle-même, intégrée dans le code source de leurs pages web. Elle y est donc visible. Cela n’a jamais posé de problème : elle ne donnait accès à rien de plus que le service pour lequel elle avait été configurée.

Depuis le déploiement de Gemini, l’IA générative de Google, cette situation a changé — sans que les clients en aient été informés. Google a associé les droits d’accès à ses nouveaux services payants d’IA aux clés API existantes. Des tiers ont pu exploiter ces clés exposées pour consommer massivement ces services, laissant la facture aux entreprises victimes.

Le phénomène n’est pas marginal. En février 2026, des chercheurs en cybersécurité ont recensé près de 3 000 clés API Google publiquement exposées et vulnérables à ce type d’exploitation. 

Google a depuis reconnu l’existence de la faille et annoncé des mesures correctives.

Les fondements juridiques d’une contestation

Deux séries d’arguments méritent d’être examinées lorsqu’une entreprise se trouve dans cette situation.

Le manquement à l’obligation d’information précontractuelle

L’article 1112-1 du Code civil impose à la partie qui détient une information déterminante de la communiquer à son cocontractant. 

Google connaissait les conséquences techniques de l’activation de Gemini sur les clés API existantes — notamment sur celles qu’elle avait elle-même recommandé de rendre publiques. 

Ses clients n’avaient aucun moyen de l’anticiper. 

L’absence d’information sur ce changement de nature des clés API peut constituer un manquement contractuel.

Le caractère potentiellement abusif de la clause de modification unilatérale

Les conditions générales de Google prévoient qu’elle peut modifier les caractéristiques de ses services, parfois sans délai de préavis pour ce qu’elle qualifie de « nouvelles fonctionnalités ». 

C’est sur ce fondement qu’a été opérée l’extension silencieuse des droits d’accès. 

Or une clause qui autorise une partie à modifier unilatéralement l’équilibre du contrat, sans information effective de l’autre, est susceptible d’être qualifiée d’abusive.

Les entreprises peuvent bénéficier du droit de la consommation 

Sur ce terrain, les entreprises disposent d’un argument souvent méconnu. 

La Cour de cassation a jugé que le droit de la consommation — qui offre une protection plus étendue contre les clauses abusives — peut bénéficier à une personne morale professionnelle, à condition que le contrat en cause n’entre pas dans le champ de son activité principale (Cass., 13 avril 2023, n° 21-23.312). 

Concrètement, une entreprise dont l’activité principale est étrangère aux technologies de l’information peut se prévaloir du Code de la consommation dans un litige portant sur un contrat d’API Google, quand bien même elle est une personne morale. 

Ce n’est qu’en cas de contrat directement lié à son cœur de métier que cette protection lui serait refusée.

Pour les entreprises qui ne relèveraient pas de cette catégorie, le Code de commerce offre une protection parallèle à savoir l’article L. 442-1 qui sanctionne les clauses qui soumettent un cocontractant à des obligations créant un déséquilibre significatif dans les droits et obligations des parties.

Quelles voies d’action ?

Lorsqu’une entreprise reçoit une facturation manifestement disproportionnée au titre de services qu’elle n’a pas commandés, plusieurs voies peuvent être envisagées conjointement : 

  • – la contestation de la facture sur le fondement des manquements contractuels de Google, 
  • – et le dépôt d’une plainte pénale pour accès frauduleux à un système de traitement automatisé de données, qui permet notamment d’obtenir communication des journaux de connexion identifiant les auteurs du piratage.

La viabilité d’une telle démarche dépend des circonstances propres à chaque situation. 

Une analyse préalable permet d’en évaluer les fondements et les chances de succès.Nous nous ten

Besoin d’un accompagnement sur une problématique similaire ?

Découvrez nos services

Restez informé !

Recevez une fois par mois notre lettre d’actualités juridiques. Au menu, des brèves & décryptages concrets sur tout le champ du droit public.

Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, consultez notre Politique de confidentialité

Richer & Associés en deux mots

Nous sommes une équipe d’avocats en droit public jeune, réactive & dynamique.

Conseil ou contentieux, nous nous engageons à vos côtés pour vous apporter des solutions clés en main, claires et opérationnelles, dans tous les domaines du droit public et privé utiles aux acteurs du secteur public.

Restons en contact

accueil@richeravocats.fr

0811 385 385

Aarpi Inter-Barreaux 

Bureaux : Hauts-de-Seine, Paris, Val d’Oise, Albi

Linkedin Twitter Facebook-f
Copyright 2026 © Richer & Associés