1. Ressources
  2. Actualité
  3. Projets IA et bonnes pratiques contractuelles

Projets IA et bonnes pratiques contractuelles

La complexité et la spécificité des technologies d'IA imposent une rigueur accrue dans la rédaction et la négociation des contrats afin de garantir la conformité, la sécurité et l'efficacité du projet.
→ article issu du JEM hors-série IA - parution mars 2025 

 

CAHIER DES CHARGES ET ACCORD DE NON-DIVULGATION 

  • Élaborer le cahier des charges : définir précisément les données d'entrée, les problématiques d'intégration, le modèle économique envisagé, ainsi que les coûts cachés et de maintenance. 
  • Initier un appel d’offres le cas échéant avec l’accompagnement du service achat. 
  • Inclure un accord de non-divulgation : assurer la confidentialité avant le début des discussions et des échanges d'informations. 
  • Établir des critères de sélection fondés sur la conformité réglementaire, la transparence et l'éthique. 

PROPRIÉTÉ INTELLECTUELLE 

  • Renforcer les clauses de garantie de propriété intellectuelle : assurer que les garanties contre les vices cachés et les garanties d'éviction sont adéquatement couvertes dans les contrats. Le fournisseur d’une solution d’IA doit garantir la collecte licite des données d’apprentissage et de leur utilisation dans la mise en œuvre de l’IA. Il doit également pouvoir garantir l’exactitude et la qualité des résultats fournis par l’IA. 

GESTION DES DONNÉES PERSONNELLES 

  • Si la solution d'IA implique des traitements de données personnelles tels que la collecte, le stockage, ou l'analyse de données personnelles, il convient de prendre connaissance des recommandations CNIL pour veiller à une application conforme du RGPD (transparence, finalité déterminée, licéité) dès la phase de développement des systèmes d’IA. 
    À ce stade, pour cette analyse, il est important de distinguer et d'examiner séparément les phases de développement et de déploiement du système d’IA. Elles répondent à des objectifs différents et impliquent des traitements de données personnelles distincts. 
    Première étape : définir un objectif (finalité) des traitements réalisés pour le système d’IA
    Deuxième étape : déterminer les responsabilités respectives des parties (responsable de traitement, responsable de traitement conjoint ou sous-traitant au sens du RGPD). 
    Troisième étape : définir la base légale qui vous autorise à traiter des données personnelles. 
    Quatrième étape : vérifier la réutilisation de certaines données personnelles est possible. 
    Cinquième étape : minimiser les données personnelles utilisées. 
    Sixième étape : définir une durée de conservation. 
    Septième étape : réaliser une analyse d’impact sur la protection des données. 
  • Décrire les traitements, leurs finalités et les mesures de protection des données via des annexes données personnelles (DPA) conclues avec le fournisseur d’un système d’IA ou l’éditeur utilisant une solution d’IA générative. 
  • Maintenir la confidentialité et la sécurité des données : éviter d'utiliser des données internes pour alimenter l'IA (si ouvert), et cloisonner l'accès à l'outil à des données spécifiquement désignées. 
  • Assurer la souveraineté et la sécurité des données : selon les attentes de la société et ses besoins propres, localiser les serveurs de manière stratégique, utiliser des serveurs cloisonnés, et prendre en compte les implications du Cloud Act (et en déduire les exigences à l’égard du prestataire en matière de transferts des données personnelles hors UE, avec une interdiction des transferts hors UE le cas échéant). 
  • Exiger une assurance cyber du fournisseur, pour autant que disponible, et a minima une forte couverture responsabilité civile, avec attestation à fournir annuellement pour un montant de couverture minimale

STANDARDS ET CONFORMITÉ 

  • Respecter les normes de compliance et de protection des données (RGPD, loi Sapin, loi sur le devoir de vigilance) et intégrer des engagements associés de la part de la contrepartie avec éventuellement la faculté pour le client de résilier en cas de manquement. 
  • Intégrer les réglementations spécifiques à l'IA (IA Act) : s'assurer que les pratiques autour de l'IA sont conformes aux législations spécifiques émergentes. Dans le cadre de l'IA Act : marquage CE pour les IA à haut risque, déclaration de conformité auprès des autorités compétentes, enregistrement dans la base de données de l'UE. 
  • Tenir compte des droits des consommateurs : s’assurer par exemple qu’un consommateur sera informé être en relation avec un système d’IA, qu’il peut le cas échéant solliciter un contact avec une personne physique, et remonter les défaillances éventuelles de l’IA.

GESTION ET UTILISATION DE L’IA 

  • Définir les protocoles d'entraînement de l'IA : établir des directives claires pour le processus d'entraînement pour assurer la qualité et la conformité et éviter les biais. 
  • Organiser la mise en commun et le partage des données : clarifier les modalités de partage de données entre parties prenantes. 

CLAUSES DE RÉVERSIBILITÉ ET AUDIT 

  • Prévoir une clause de réversibilité sans surcoût pour le client : permettre à l'entreprise de reprendre le contrôle ou de migrer ses données si nécessaire. 
  • Définir les obligations en matière d’audit : le client doit s’assurer de la possibilité de réaliser des audits chez ses fournisseurs et ses sous-traitants éventuels.

MAINTENANCE / BIAIS 

  • Prévenir et corriger les biais : 1) évaluation obligatoire des retours utilisateurs : mettre en place une procédure pour recueillir et analyser systématiquement les retours des utilisateurs afin d'identifier et de corriger les biais potentiels dans les algorithmes. 2) Formation continue : organiser des formations régulières pour les utilisateurs de l'IA sur la reconnaissance et la gestion des biais. 
  • Évaluer les risques de biais algorithmique : 1) Audit des fournisseurs d'IA : exiger des fournisseurs qu'ils fournissent des analyses de risques de biais et les mesures prises pour les minimiser. Inclure des clauses spécifiques dans les contrats pour garantir ces audits. 2) Rapports de transparence : demander des rapports périodiques sur l'efficacité des mesures de minimisation des biais mises en place.

CLAUSES ET RESPONSABILITÉ 

La contractualisation est indispensable pour clarifier les rôles, obligations et responsabilités des parties et gérer les risques liés à l’utilisation de l’IA : 

  • Identifier les obligations essentielles du contrat et les conséquences en cas de violation. 
  • Bien encadrer les obligations et responsabilités respectives des parties (fournisseur, utilisateurs et clients) en cas de dommages ou d'incidents liés à l'utilisation de l'IA et pour une meilleure gestion des risques liés. Clarifier le régime de responsabilité avec ou sans faute. Clarifier le régime de responsabilité de l’éditeur d’une solution faisant appel à un modèle d’IA tiers. 
  • Dissocier le régime de responsabilité entre le volet contractuel et le volet data avec des plafonds spécifiques le cas échéant (ou déplafonnement de responsabilité s’il est accepté) 
  • Prévoir les garanties de temps de rétablissement (SLA) en cas de défaillance/ blocage et pénalités associées (ainsi que les pénalités incitatives en cas de suspension de la solution d’IA). Notons que de l'IA Act prévoit la possibilité pour le bureau européen de l’IA d’élaborer des modèles de clauses contractuelles pour les contrats entre les fournisseurs de systèmes d’IA à haut risque et les tiers qui fournissent des outils, des services, des composants ou des processus utilisés ou intégrés dans ces systèmes. La Commission européenne a notamment publié des modèles de clauses contractuelles types pour la passation de marchés par des organisations publiques dans le domaine de l’IA

CLAUSES COMPLÉMENTAIRES 

  • Gérer la sous-traitance : établir des directives claires pour la gestion et le contrôle des sous-traitants. 
  • Gérer le cas échéant les prestataires de services externalisés essentiels à l’organisation avec la possibilité de résilier le contrat et l’interdiction de sous-traitance de rang 2. 
  • Assurance : voir les dispositions spécifiques du fournisseur liées au volet IA. 
  • Loi applicable / juridictions compétentes : loi du client, juridictions compétentes : celles du client.

 

Publié le 01/04/2025



AFJE : Association française des Juristes d'entreprise

Siège social

5 rue du Chevalier de Saint-George

75008 PARIS

 

association@afje.org

01.42.61.53.59

AFJE Bruxelles

Square de Meeüs

35 1000 Brussels

 

bxl@afje.org

 



Logo et lien Respect Zone
NOUS CONTACTER ADHÉRER
Mentions légales CGU Gestion des cookies Protection des données - Accessibilité

2016-2025 © Association Française des Juristes d’Entreprise – Association régie par la loi du 1er juillet 1901