Corollaire du développement de l'intelligence artificielle, les entreprises sont de plus en plus amenées à intégrer des outils d'IA au service de leurs activités.

La commercialisation d'un système d'intelligence artificielle (SIA) peut mobiliser plusieurs intervenants définis par le Règlement IA, tels que le fournisseur qui conçoit le SIA, mais aussi le mandataire, le distributeur ou l'importateur.

Dans ces conditions, et en raison de l'hégémonie de certaines entités, il n'est pas rare que, lorsqu'un déployeur souhaite recourir à un système d'intelligence artificielle, la partie contractante ne soit pas le fournisseur lui-même, mais l'un de ses intermédiaires.

⚠️ En raison de la sensibilité de ces systèmes complexes et de l'opacité des résultats qui en découlent, quelle que soit la partie contractante, il incombe au déployeur de s'assurer que le contrat relatif à l'utilisation du SIA comporte des stipulations adéquates afin de sécuriser sa position.

1/ La nécessité d’une transparence et d’une obligation d’information renforcée

Pour remédier à la complexité des systèmes et à l’opacité de leur fonctionnement, il est essentiel d’instaurer à l’égard du fournisseur une obligation renforcée d’information et de conseil. Cela inclut notamment des précisions sur les capacités et les limites des systèmes, ainsi que sur leur adéquation à répondre aux besoins du déployeur.

De telles mesures de transparence, accompagnées d’une documentation précise et accessible, constituent des prérequis indispensables pour que le déployeur puisse recourir aux systèmes d’intelligence artificielle avec les précautions nécessaires, tout en appréhendant les limites et les risques qu’ils engendrent pour les utilisateurs.

2/ La contractualisation de la coopération et les analyses d’impact (IA & RGPD)

Certaines catégories de déployeurs de SIA doivent impérativement réaliser une analyse d'impact afin d'évaluer les conséquences potentielles de l'utilisation du SIA sur les droits fondamentaux des personnes concernées.

Pour effectuer cette analyse, il est nécessaire de comprendre parfaitement le mode de fonctionnement des systèmes et de connaître les mesures de sécurité mises en place, notamment pour éviter toute violation de l’intégrité des SIA.

Dans de telles circonstances, il est vivement conseillé de prévoir contractuellement l’obligation pour le fournisseur de coopérer à la réalisation de cette analyse, étant celui qui est le mieux placé pour répondre aux questions du déployeur afin que l’analyse d’impact soit objective et précise.

En outre, afin d’éviter une situation dans laquelle le déployeur se retrouverait dans l’incapacité de répondre aux exigences réglementaires, il est impératif de contractualiser un engagement d’assistance de la part du fournisseur pour aider le déployeur à remplir ses obligations.

En effet, puisque la réglementation impose de tenir différents registres et de conserver une documentation technique concernant les caractéristiques des systèmes, le déployeur doit donc exiger, a minima, du fournisseur qu’il mette à sa disposition les documents prouvant la conformité du SIA et de ses versions ultérieures, ainsi que qu’il procède aux évaluations nécessaires pour s’assurer de cette conformité.

3/ Les garanties relatives à la sécurité, à la propriété intellectuelle, aux résultats et aux jeux de données

Pour les systèmes les plus sensibles, il est impératif qu'ils répondent à des exigences strictes concernant la qualité et la pertinence des données d'entraînement, de validation et de tests.

Il est donc crucial de prévoir des stipulations contractuelles garantissant la qualité, la pertinence et la légalité des jeux de données d'entraînement pour les SIA à haut risque.

En outre, afin de respecter les exigences relatives à la protection des données à caractère personnel et de sécuriser la position du déployeur, le contrat devra établir des garanties concernant la mise en place de mesures de sécurité adéquates dès la conception du SIA et prévoir une annexe précise détaillant les mesures techniques et organisationnelles mises en œuvre.

S’agissant de systèmes d’analyse ou d’algorithmes génératifs, le contrat devra également définir le devenir des jeux de données ainsi que la propriété des résultats produits par le SIA.

Il est dans l’intérêt du client de bénéficier d’un droit de réutilisation large, tout en s’assurant que le fournisseur ne pourra revendiquer de droits sur les résultats générés.

En outre, dans l’hypothèse où les données d’entraînement, de validation et de tests proviennent des bases de données du déployeur, le contrat devra stipuler que ces données demeurent sa propriété exclusive et préciser leur sort aux termes de la relation contractuelle avec le fournisseur ou le distributeur.

Etienne Bucher

https://www.erisavocat.com/