#7 : Impacts de l’IA Act sur les contrats IT : adaptations nécessaires

Le déploiement ou la commercialisation d’un système d’intelligence artificielle ne se traite pas avec un simple contrat logiciel adapté à la marge étant donné les obligations du Règlement européen sur l’Intelligence Artificielle (IA Act). 

En matière d’IA, le point décisif n’est pas seulement la fourniture d’un outil, mais la manière dont sont réparties la conformité, la supervision, la preuve, la gestion des incidents, le coût des évolutions et l’exploitation des résultats.

Dans certains cas, le contrat a principalement pour objet la mise à disposition d’un système d’intelligence artificielle ou d’un modèle d’IA à usage général au bénéfice d’un client ou d’un utilisateur. 

Dans d’autres, la relation relève davantage du partenariat, parce que les parties entendent collaborer pour concevoir le système, l’entraîner, l’adapter à un domaine métier ou encore organiser ensemble sa commercialisation. 

Cette distinction est importante parce qu’elle commande très concrètement la répartition des obligations, des responsabilités, des droits de propriété intellectuelle et, plus largement, la manière d’organiser la conformité réglementaire. Un contrat mal qualifié au départ peut conduire à des difficultés en chaîne : responsabilités mal réparties, droits mal attribués, documentation mal pensée, périmètre d’engagement flou, et, au bout du compte, conflit prévisible sur ce que chacun pensait avoir acheté, fourni ou construit.

Ensuite, avant même de rédiger le contrat, trois questions structurantes concernant le système doivent être traitées : celle de l’existence d’un système d’IA, si tel est le cas celle de l’usage du système IA, puis celle du niveau de risque du système concerné au regard de l’IA Act. Ces questions conditionnent l’intensité des obligations applicables et, partant, le contenu même du contrat.

Puis, lorsqu’il s’agit d’un système d’IA à haut risque, les exigences ne se résument pas à un renforcement quantitatif des contraintes. Elles imposent une véritable organisation contractuelle de la conformité. 

Et même dans cette catégorie, le régime n’est pas uniforme. L’étendue des obligations peut varier selon la qualification précise du système, son usage, sa fonction dans la chaîne de valeur ou les exceptions prévues par le texte. 

Et il ne suffit pas d’identifier le système en cause. Il faut encore déterminer avec précision la position de chaque intervenant, qu’il s’agisse du fournisseur, du déployeur, du distributeur, de l’importateur ou du partenaire de développement. Là encore, l’enjeu est très concret : le rôle attribué dans le contrat aux parties emporte des conséquences sur la charge de conformité, sur la documentation à produire, sur les diligences attendues et sur les responsabilités susceptibles d’être recherchées.

Concernant le contenu, le niveau d’exigences est très différent en fonction de la qualification et de l’objet du contrat. 

Certes les contrats d’IA conservent un socle commun avec les contrats IT classiques. Mais ce socle est insuffisant, car il faut encadrer un système autonome dont les performances peuvent varier, dont les résultats doivent être expliqués, contrôlés ou tracés, et dont les dysfonctionnements ne se réduisent pas à une panne logicielle. 

De façon générale, ces contrats, doivent par exemple définir ce qui constitue une anomalie en tenant compte de celle qui résulte d’un biais, d’une hallucination, d’une erreur ou d’une performance devenue inadaptée ; préciser les modalités de documentation, de test, de supervision et de traçabilité ; organiser les conditions de suspension ou de correction ; répartir clairement les coûts spécifiques ainsi que les droits sur les données, le modèle, les logiciels, les sorties et les enrichissements.

L’IA Act n’ajoute donc pas simplement quelques contraintes supplémentaires à un contrat existant. Il impose de repenser l’architecture contractuelle elle-même : qui est l’acteurs qui porte la conformité IA Act, qui en apporte la preuve, qui décide en cas d’incident, qui assume le risque opérationnel résiduel, qui finance les adaptations nécessaires et qui peut exploiter les résultats produits par le système. C’est à ce niveau que se joue la solidité du contrat.

Un contrat d’IA sérieux est un outil de répartition des risques et de pilotage du système, conçu en fonction de son cycle de vie et de la place exacte de chaque intervenant.


Dans le cadre du cycle « le Règlement sur l’Intelligence artificielle », nous vous proposons de nous retrouver chaque mois pour améliorer notre compréhension commune de ce règlement et que vous soyez ainsi prêt pour son entrée en application :

Le département Contrats informatique, données & conformité peut vous accompagner dans tout le cycle de vie du SIA et notamment pour vos contractualisations liées aux SIA ou aux modèles d’IA à usage général.

Pour toute question, n’hésitez pas à nous contacter.