À mesure que l’IA progresse, les entreprises sont amenées à intégrer de plus en plus d’outils d’IA pour les besoins de leurs activités.
Au regard du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (« Règlement IA »), les personnes morales utilisatrices de SIA sont qualifiées de « déployeur » tandis que celles éditant ou développant de tels systèmes sont qualifiées de « fournisseur »[1].
La commercialisation d’un SIA est susceptible de faire intervenir une grande diversité d’acteurs reconnus par le Règlement IA, non seulement le fournisseur qui édite le SIA, mais aussi le mandataire, le distributeur, l’importateur. Ainsi, il est possible que lorsqu’un déployeur souhaite avoir recours à un SIA, la partie contractante ne soit pas le fournisseur lui-même, mais l’un de ses intermédiaires.
Il est également probable que le déployeur ne dispose que d’une marge de négociation réduite face au fournisseur (ou l’un de ses intermédiaires) qui se trouve en position de force pour imposer ses conditions standards.
Dans un cas comme dans l’autre, le déployeur doit vérifier que le contrat relatif à l’utilisation du SIA qu’il compte utiliser comporte des stipulations adaptées et suffisamment protectrices.
Le déploiement d’un SIA est un projet informatique particulièrement sensible. En raison de l’opacité de ces technologies, les déployeurs ne sont pas forcément en mesure de comprendre pleinement le fonctionnement d’un SIA. En outre, selon l’utilisation qui en est faite, un dysfonctionnement d’un SIA (erreur, hallucination, biais…) peut avoir des conséquences importantes.
La nécessité de déterminer les rôles, obligations et responsabilités des parties au contrat est un enjeu crucial. Les clauses et obligations évoquées dans cet article ne sont évidemment pas exhaustives, mais permettent d’identifier quelques points d’attention majeurs dans la contractualisation avec un fournisseur de SIA ou un de ses intermédiaires.
Transparence et obligation d’information
Les SIA étant des produits particulièrement complexes, les fournisseurs de SIA doivent être tenus à l’égard de leurs clients utilisateurs d’une obligation d’information, de conseil, voire de mise en garde, renforcée.
L’exigence de transparence renvoie notamment au fait « que les déployeurs soient dûment informés des capacités et des limites de ce SIA et que les personnes concernées soient informées de leurs droits »[2].
Cette obligation d’information vaut pour tous les types de SIA, y compris ceux à usage général (« des mesures de transparence proportionnées devraient être prévues, y compris l’élaboration et la tenue à jour de la documentation, et la fourniture d’informations sur le modèle d’IA à usage général en vue de son utilisation par les fournisseurs en aval »[3]).
Concernant les SIA dits « à haut risque », le Règlement IA prévoit expressément une obligation de transparence et de fourniture d’information aux déployeurs[4].
Par exemple, il est prévu que les SIA à haut risque doivent être accompagnés d’une notice d’utilisation complète et à jour portant notamment sur « les caractéristiques, les capacités et les limites de performance du SIA ». Cette notice a notamment pour objet d’ « aider les déployeurs à utiliser celui-ci (le SIA) et à prendre des décisions en connaissance de cause (…) d’être informés sur les utilisations prévues et interdites et d’utiliser le système d’IA correctement »[5].
Selon le Règlement IA, « les fournisseurs devraient veiller à ce que toute la documentation, y compris la notice d’utilisation, contienne des informations utiles, complètes, accessibles et compréhensibles, compte tenu des besoins et des connaissances prévisibles des déployeurs visés »[6].
Il est important de rappeler dans le contrat l’obligation pour le fournisseur de tout SIA à haut risque de fournir cette notice et de s’assurer qu’elle comporte les informations décrites à l’article 13 du Règlement IA.
Il est également possible (et même recommandé) de renforcer contractuellement cette obligation d’information en précisant davantage les informations devant être fournies et les risques contre lesquels le déployeur souhaite être prévenu.
Concrètement le contrat conclu avec un fournisseur de SIA devra comporter une clause d’obligation d’information adaptée et détaillant de manière précise le niveau d’information et de mise en garde que le client attend de son fournisseur.
L’obligation de coopération
En application de l’article 27 du Règlement IA, certaines catégories de déployeurs de SIA à haut risque (tels que les organismes de droit public ou les entités privées fournissant des services publics, notamment les entités bancaires ou d’assurance) sont tenues d’effectuer une analyse d’impact sur les droits fondamentaux que l’utilisation de ce SIA peut avoir.
Cette analyse d’impact doit notamment permettre d’identifier en amont, les risques liés aux droits fondamentaux des personnes, les préjudices susceptibles d’être portés à ces personnes concernées et les mesures à prendre en cas de matérialisation de ce risque.
Il est recommandé en pareille situation de prévoir expressément l’obligation pour le fournisseur de coopérer à la réalisation de toute analyse d’impact, le fournisseur du SIA étant le plus à même de répondre aux questions que le déployeur peut se poser dans le cadre de cette analyse. Il est rappelé que cette analyse d’impact prévue au titre du Règlement IA peut se cumuler avec l’analyse d’impact relative à la protection des données à caractère personnel prévue à l’article 35 du RGPD.
De manière plus générale, le contrat devrait prévoir l’obligation pour le fournisseur d’aider le déployeur à remplir ses obligations en vertu du Règlement.
La conformité du fournisseur à la Règlementation
Aux termes de l’article 21 du Règlement IA, les fournisseurs de SIA à haut risque doivent être en mesure de démontrer à l’autorité compétente la conformité de leur SIA à haut risque avec les exigences du Règlement.
Les fournisseurs de modèles d’IA à usage général sont également soumis à cette obligation (y compris ceux ne présentant pas un risque systémique) et sont tenus, en cas de demande d’une autorité compétente, de présenter la documentation nécessaire pour démontrer leur conformité au Règlement IA[7].
Cette obligation n’est pas sans rappeler le principe d’accountability instauré par le RGPD.
Cela nécessite de tenir des registres et une documentation technique relative à la conformité, aux caractéristiques, à la destination, aux capacités et aux limites du SIA, et de mettre à jour régulièrement cette documentation tout au long de la vie du SIA.
Par exemple, en cas de nouvelle source de données d’entrainement, de nouveaux réglages ou de modification du SIA, la documentation doit être mise à jour par le fournisseur.
Le déployeur devrait ainsi exiger du fournisseur de SIA qu’il tienne à sa disposition la documentation utile permettant de démontrer la conformité du SIA au Règlement IA et notamment que le fournisseur a procédé aux évaluations nécessaires.
La transparence et la gouvernance des données
Selon le Règlement IA, les SIA à haut risque doivent répondre à des exigences en ce qui concerne notamment la qualité et la pertinence des jeux de données utilisés[8]. L’article 12 du Règlement IA applicable aux SIA à haut risque dispose que « les jeux de données d’entrainement, de validation et de test sont pertinents, suffisamment représentatifs et, dans toute la mesure possible, exempts d’erreurs et complets au regard de la destination ».
Concernant les modèles d’IA à usage général, le Règlement IA impose au fournisseur de tenir à jour une documentation relative au processus d’entrainement et détaillant notamment « les informations sur les données utilisées pour l’entrainement, les essais et la validation, le cas échéant, y compris le type et la provenance des données et les méthodes d’organisation »(article 53 du Règlement et Annexe XI) et de mettre à la disposition du public « un résumé suffisamment détaillé du contenu utilisé pour entrainer le modèle d’IA à usage général »[9].
Il est donc essentiel de prévoir des stipulations contractuelles encadrant la gouvernance des données d’entrainement, et garantissant en particulier leur qualité et leur légalité. Pour les SIA à haut risque, il conviendra de se référer à l’article 10 du Règlement qui détaille les critères de qualité auxquelles les données d’entrainement doivent répondre, notamment pour réduire les biais.
L’obligation de sécurité
Le Règlement IA impose que les SIA soient développés de manière à atteindre un niveau approprié de robustesse et de cybersécurité. La robustesse fait partie des sept principes éthiques non contraignants élaborés par le GEHN IA[10] dans ses lignes directrices. Elle implique les SIA soient développés et utilisés « de manière à ce qu’ils soient techniquement robustes en cas de problème et résilients aux tentatives visant à en corrompre l’utilisation ou les performances afin de permettre à des tiers d’en faire une utilisation abusive, et à réduire le plus possible les atteintes involontaires »[11].
Cette exigence fait écho à l’obligation de sécurité des données découlant de la loi informatique et liberté et du RGPD. Pour mémoire, l’obligation de sécurité des données telle que prévue par ces textes s’applique aux SIA qui traitent des données à caractère personnel, tant au stade de leur développement que dans leur déploiement.
Le contrat conclu avec le fournisseur de SIA doit donc insister sur l’importance d’intégrer les exigences de sécurité dès la conception du SIA et de maintenir des mesures de sécurité adéquates.
Il est recommandé de prévoir une annexe détaillant les mesures techniques et organisationnelles permettant d’assurer la sécurité du système, notamment les exigences en termes de robustesse et de résilience du système face aux cyberattaques.
La propriété intellectuelle
Le contrat entre un déployeur et fournisseur doit également déterminer à qui appartiennent les résultats produits par le SIA. Le client a tout intérêt à disposer du droit de réutiliser et réexploiter ces résultats de manière large, tout en bénéficiant de garanties appropriées en cas de recours de tiers invoquant des droits sur les résultats générés par le SIA et/ou les données d’entrainement.
Si les jeux de données appartiennent au client, le contrat devra rappeler que les données sont et demeurent la propriété du déployeur et faire interdiction au fournisseur de les réutiliser à d’autres fins que la fourniture des services dans le cadre du contrat. Le sort de ces données à la fin du contrat devra également être prévu, ainsi qu’une obligation de restitution et de destruction pesant sur le fournisseur.
De manière générale, il est désormais fortement recommandé de prévoir dans les contrats de service l’obligation pour le prestataire de déclarer au client tout recours à l’IA dans la réalisation des prestations. À titre d’exemple, une entreprise qui souhaiterait recourir aux services d’une agence de publicité devrait prévoir dans son contrat de prestation l’obligation pour cette agence de déclarer tout recours à l’IA dans le cadre d’une mission créative.
La responsabilité
Les SIA ne sont pas infaillibles. Des erreurs de fonctionnement ou des « hallucinations » peuvent avoir des conséquences économiques considérables pour l’entreprise utilisatrice.
Il est donc essentiel d’identifier ces risques en amont du processus de contractualisation (par exemple en élaborant une matrice des risques) et de déterminer les responsabilités des parties prenantes. Si un plafond de responsabilité est prévu, il devra être corrélé aux risques auxquels le déployeur s’expose en cas de dysfonctionnement de l’IA. À l’inverse, le fournisseur a intérêt de prévoir des cas d’exclusion de sa responsabilité, notamment en cas d’utilisation non conforme de l’IA à sa destination ou à la documentation par le déployeur.
Enfin, il convient de noter que le Règlement IA prévoit expressément la possibilité pour le Bureau de l’IA, créé au sein de la Commission européenne, d’élaborer des clauses contractuelles en tenant compte des spécificités applicables aux différents secteurs[12]. À cet égard, la Commission européenne a déjà publié deux propositions de clauses contractuelles types pour la passation de marché par des organismes publics dans le domaine de l’IA. De prochaines propositions de clauses contractuelles types devraient voir le jour pour aider au mieux les acteurs dans leur contractualisation.
[1] Règlement IA, art. 3
[2] Règlement IA, considérant 27
[3] Règlement IA, considérant 101
[4] Règlement IA, article 13
[5] Règlement IA, considérant 72
[6] Règlement IA, considérant 72
[7] Règlement IA, article 53
[8] Règlement IA, considérant 66
[9] Règlement IA, considérant 107
[10] Groupe d’Experts de Haut Niveau sur l’IA constitué par la Commission Européenne
[11] Règlement IA, considérant 27
[12] Règlement IA, article 25
Retrouver les autres articles de la SAGA AI :
- SAGA AI #1 – AI Act : L’UE adopte le premier règlement sur l’intelligence artificielle au monde
- SAGA AI #2 – Les enjeux de l’utilisation de l’IA en matière de PI : focus sur les œuvres utilisées pour entraîner les IA
- SAGA AI #3 – Contenus générés par une intelligence artificielle : qui détient quels droits ?
- SAGA AI #4 – Le développement de l’IA confronté au droit de la protection des données personnelles
- SAGA AI #5 – Le recours aux outils d’IA en entreprise : gouvernance et protection des informations couvertes par le secret des affaires
- SAGA AI #6 – Intelligence artificielle : de nouvelles cyber obligations pour de nouveaux cyber crimes
- SAGA AI #7 – Fait dommageable d’un système d’intelligence artificielle, quelles responsabilités ?
- SAGA AI #8 – Intelligence artificielle dans le secteur juridique : risques et opportunités
- SAGA AI #9 – État des lieux de la réglementation de l’IA à l’étranger