Clauses contractuelles AI Act : 10 exigences à imposer à votre fournisseur IA.
À partir du 2 décembre 2027, les déployeurs de systèmes d'IA haut risque devront documenter leur conformité. L'AI Act permet de transférer contractuellement une partie de ces obligations aux fournisseurs. Voici les clauses à exiger dès maintenant pour sécuriser vos achats d'IA.
Pourquoi contractualiser les obligations AI Act avec votre fournisseur
L'AI Act impose aux déployeurs des obligations strictes, mais permet de les transférer contractuellement aux fournisseurs. Une opportunité à saisir pour sécuriser vos achats d'IA.
L'Article 26 de l'AI Act définit les obligations des déployeurs de systèmes d'IA. Parmi celles-ci, certaines peuvent être transférées au fournisseur via un contrat, à condition que ce transfert soit explicite et documenté. Ce mécanisme, prévu à l'Article 25(1), permet aux déployeurs de s'assurer que leur fournisseur assume une partie des responsabilités légales.
Pour les acheteurs, DPO et juristes, cette contractualisation présente trois avantages majeurs :
- Réduction des risques juridiques : en cas de non-conformité, la responsabilité peut être partagée ou transférée au fournisseur.
- Simplification de la conformité : le fournisseur devient responsable de la documentation technique et des mises à jour.
- Meilleure maîtrise des coûts : les audits et la maintenance sont intégrés dans le contrat, évitant des dépenses imprévues.
Le CEPD a souligné dans ses recommandations de janvier 2025 que cette approche contractuelle est essentielle pour les déployeurs, notamment pour les systèmes d'IA haut risque. Sans clause explicite, le déployeur reste seul responsable de la conformité.
Les 10 clauses essentielles à exiger dans vos contrats IA
Voici les clauses à intégrer systématiquement dans vos contrats avec les fournisseurs de systèmes d'IA, avec pour chacune : la base légale, un exemple de formulation, et les pièges à éviter.
Fourniture de la documentation technique (Annexe IV)
Pourquoi ? L'Article 11 de l'AI Act impose aux fournisseurs de fournir une documentation technique détaillée, conforme à l'Annexe IV. Cette documentation est indispensable pour évaluer la conformité du système et répondre aux demandes des autorités.
Exemple de clause :
« Le Fournisseur s'engage à remettre au Déployeur, avant la mise en service du système d'IA, une documentation technique complète conforme à l'Annexe IV du Règlement (UE) 2024/1689. Cette documentation inclura notamment :
- une description générale du système d'IA ;
- les instructions d'utilisation ;
- les caractéristiques, capacités et limitations du système ;
- les mesures de surveillance post-commercialisation ;
- les risques résiduels et les mesures d'atténuation.
Le Fournisseur garantit l'exactitude et la mise à jour de cette documentation pendant toute la durée du contrat. »
Red flags :
- Le fournisseur refuse de fournir la documentation complète, invoquant des secrets industriels.
- La documentation est générique et ne correspond pas spécifiquement au système fourni.
- Aucune garantie de mise à jour n'est prévue en cas de modification du système.
Notification des incidents sous 72 heures
Pourquoi ? L'Article 73 de l'AI Act impose aux fournisseurs de notifier les incidents graves aux autorités compétentes. Cette obligation doit être étendue au déployeur pour lui permettre de prendre les mesures correctives nécessaires.
Exemple de clause :
« Le Fournisseur s'engage à notifier au Déployeur, dans un délai maximal de 72 heures, tout incident grave lié au système d'IA, tel que défini à l'Article 3(44) du Règlement (UE) 2024/1689. Cette notification inclura :
- une description détaillée de l'incident ;
- les causes identifiées ou suspectées ;
- les mesures correctives prises ou envisagées ;
- les risques résiduels pour les utilisateurs finaux.
Le Fournisseur informera également le Déployeur des suites données à la notification auprès des autorités compétentes. »
Red flags :
- Le fournisseur propose un délai de notification supérieur à 72 heures.
- Aucune procédure claire n'est définie pour la notification des incidents.
- Le fournisseur refuse de partager les détails des incidents avec le déployeur.
Droit d'audit annuel
Pourquoi ? L'Article 26(5) de l'AI Act impose aux déployeurs de surveiller la conformité des systèmes d'IA. Un droit d'audit permet de vérifier que le fournisseur respecte ses obligations contractuelles et réglementaires.
Exemple de clause :
« Le Déployeur ou un tiers mandaté par lui aura le droit de réaliser un audit annuel du système d'IA et de sa documentation, afin de vérifier le respect des obligations prévues par le Règlement (UE) 2024/1689 et le présent contrat. Cet audit portera notamment sur :
- la conformité de la documentation technique ;
- l'efficacité des mesures de gestion des risques ;
- la traçabilité des données et des décisions ;
- les procédures de notification des incidents.
Le Fournisseur s'engage à fournir toutes les informations et accès nécessaires à la réalisation de cet audit, dans un délai raisonnable. Les résultats de l'audit seront partagés avec le Fournisseur, qui disposera d'un délai de 30 jours pour proposer des mesures correctives en cas de non-conformité. »
Red flags :
- Le fournisseur limite le droit d'audit à une fréquence inférieure à une fois par an.
- L'audit est restreint à certains aspects du système, sans accès complet à la documentation.
- Aucun délai n'est prévu pour la mise en œuvre des mesures correctives.
Obligations de mise à jour en cas de modification substantielle
Pourquoi ? L'Article 14 de l'AI Act impose aux fournisseurs de réévaluer la conformité du système en cas de modification substantielle. Le déployeur doit être informé et donner son accord avant toute mise à jour majeure.
Exemple de clause :
« Le Fournisseur s'engage à notifier au Déployeur toute modification substantielle du système d'IA, telle que définie à l'Article 3(23) du Règlement (UE) 2024/1689, au moins 30 jours avant sa mise en œuvre. Cette notification inclura :
- une description détaillée de la modification ;
- une évaluation de son impact sur la conformité du système ;
- les mesures correctives envisagées pour maintenir la conformité.
Le Déployeur disposera d'un délai de 15 jours pour donner son accord ou demander des modifications. En l'absence de réponse, le Fournisseur pourra procéder à la mise à jour, sous réserve de respecter les obligations légales. »
Red flags :
- Le fournisseur se réserve le droit de modifier le système sans notification préalable.
- Aucun délai n'est prévu pour la notification des modifications substantielles.
- Le fournisseur refuse de partager une évaluation d'impact sur la conformité.
Déclaration du niveau de risque du système
Pourquoi ? L'Article 6 de l'AI Act classe les systèmes d'IA en fonction de leur niveau de risque. Le fournisseur doit déclarer ce niveau et justifier sa classification, afin que le déployeur puisse adapter ses mesures de conformité.
Exemple de clause :
« Le Fournisseur déclare que le système d'IA fourni est classé dans la catégorie suivante, conformément à l'Article 6 du Règlement (UE) 2024/1689 :
- [ ] Système interdit (Article 5) ;
- [ ] Système à haut risque (Annexe III) ;
- [ ] Système à risque limité (Article 50) ;
- [ ] Système à risque minimal.
Le Fournisseur fournira une justification écrite de cette classification, incluant une analyse des critères définis aux Articles 6 et 7 du Règlement. En cas de désaccord sur la classification, les parties s'engagent à solliciter un avis de l'AI Office ou d'une autorité compétente. »
Red flags :
- Le fournisseur refuse de déclarer le niveau de risque du système.
- Aucune justification écrite n'est fournie pour la classification.
- Le fournisseur minimise le niveau de risque pour éviter des obligations supplémentaires.
Conformité au marquage CE avant déploiement
Pourquoi ? L'Article 48 de l'AI Act impose aux fournisseurs de systèmes d'IA haut risque d'apposer le marquage CE avant leur mise sur le marché. Le déployeur doit s'assurer que ce marquage est valide et conforme.
Exemple de clause :
« Le Fournisseur garantit que le système d'IA fourni est conforme aux exigences du Règlement (UE) 2024/1689 et qu'il porte le marquage CE, apposé conformément à l'Article 48. Le Fournisseur remettra au Déployeur, avant la mise en service du système, une copie de la déclaration UE de conformité, telle que définie à l'Article 47.
En cas de non-conformité constatée après le déploiement, le Fournisseur s'engage à prendre toutes les mesures nécessaires pour rétablir la conformité dans un délai maximal de 15 jours. »
Red flags :
- Le fournisseur ne peut pas fournir la déclaration UE de conformité.
- Le marquage CE est apposé sans justification technique.
- Aucun délai n'est prévu pour corriger une non-conformité.
Conservation des logs conformément à l'Article 12
Pourquoi ? L'Article 12 de l'AI Act impose aux fournisseurs de systèmes d'IA haut risque de conserver des logs pendant au moins 6 mois. Ces logs sont essentiels pour assurer la traçabilité des décisions et répondre aux demandes des autorités.
Exemple de clause :
« Le Fournisseur s'engage à conserver, pendant une durée minimale de 6 mois à compter de leur génération, les logs du système d'IA, conformément à l'Article 12 du Règlement (UE) 2024/1689. Ces logs incluront :
- les données d'entrée et de sortie du système ;
- les paramètres de fonctionnement ;
- les décisions ou prédictions générées ;
- les éventuelles erreurs ou anomalies.
Le Fournisseur garantit que ces logs sont sécurisés, intègres et accessibles au Déployeur sur demande, dans un format lisible et exploitable. »
Red flags :
- Le fournisseur refuse de conserver les logs pendant 6 mois.
- Les logs ne sont pas accessibles au déployeur ou sont dans un format non exploitable.
- Aucune mesure de sécurité n'est prévue pour protéger les logs.
Obligations de formation des utilisateurs (Article 4)
Pourquoi ? L'Article 4 de l'AI Act impose aux déployeurs de former leurs utilisateurs à l'utilisation des systèmes d'IA. Le fournisseur doit fournir les supports nécessaires et, si possible, proposer des sessions de formation.
Exemple de clause :
« Le Fournisseur s'engage à fournir au Déployeur les supports de formation nécessaires pour permettre aux utilisateurs finaux d'utiliser le système d'IA de manière sûre et conforme. Ces supports incluront :
- un manuel d'utilisation détaillé ;
- des guides pratiques pour les cas d'usage spécifiques ;
- des modules de formation en ligne ou en présentiel, si disponibles.
Le Fournisseur proposera également, sur demande du Déployeur, des sessions de formation pour les utilisateurs, facturées selon les tarifs en vigueur. »
Red flags :
- Le fournisseur ne fournit aucun support de formation.
- Les supports de formation sont trop génériques et ne couvrent pas les cas d'usage spécifiques.
- Les sessions de formation sont facturées à un tarif prohibitif.
Clause de résiliation pour non-conformité persistante
Pourquoi ? En cas de non-conformité répétée du fournisseur, le déployeur doit pouvoir résilier le contrat sans pénalité. Cette clause protège le déployeur contre les risques juridiques et financiers liés à un système non conforme.
Exemple de clause :
« En cas de non-respect répété par le Fournisseur de ses obligations contractuelles ou légales, notamment en matière de conformité au Règlement (UE) 2024/1689, le Déployeur aura le droit de résilier le présent contrat avec un préavis de 30 jours, sans pénalité ni indemnité. Cette résiliation pourra intervenir après deux mises en demeure restées sans effet, notifiées par écrit et précisant les manquements constatés.
Le Fournisseur s'engage à rembourser au Déployeur les sommes versées pour la période postérieure à la résiliation, le cas échéant. »
Red flags :
- Le contrat ne prévoit aucune clause de résiliation pour non-conformité.
- La résiliation est soumise à des pénalités financières élevées.
- Aucun préavis n'est prévu pour la résiliation.
Loi applicable et juridiction compétente
Pourquoi ? En cas de litige, il est essentiel de définir clairement la loi applicable et la juridiction compétente. Cela évite des procédures longues et coûteuses dans des pays tiers.
Exemple de clause :
« Le présent contrat est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution sera soumis à la juridiction exclusive des tribunaux de Paris, nonobstant pluralité de défendeurs ou appel en garantie. »
Red flags :
- Le contrat prévoit une loi applicable étrangère, sans justification.
- La juridiction compétente est située dans un pays tiers, compliquant les recours.
- Aucune clause de loi applicable ou de juridiction n'est prévue.
Modèle de clause type prêt à copier pour vos contrats IA
Voici un modèle de clause globale, intégrant les exigences clés de l'AI Act. Adaptez-le à votre contexte et faites-le valider par votre service juridique.
« Le Fournisseur garantit que le système d'IA fourni est conforme aux exigences du Règlement (UE) 2024/1689, notamment en ce qui concerne :
- la documentation technique (Annexe IV) ;
- la gestion des risques (Article 9) ;
- la transparence et la traçabilité (Article 12) ;
- la notification des incidents (Article 73) ;
- le marquage CE et la déclaration UE de conformité (Articles 47 et 48).
Le Fournisseur s'engage à :
- remettre au Déployeur, avant la mise en service du système, une documentation technique complète et à jour ;
- notifier au Déployeur tout incident grave dans un délai maximal de 72 heures ;
- permettre au Déployeur de réaliser un audit annuel du système et de sa documentation ;
- notifier au Déployeur toute modification substantielle du système au moins 30 jours avant sa mise en œuvre ;
- conserver les logs du système pendant une durée minimale de 6 mois ;
- fournir les supports de formation nécessaires pour les utilisateurs finaux.
En cas de non-respect de ces obligations, le Déployeur aura le droit de résilier le contrat avec un préavis de 30 jours, sans pénalité. Le présent contrat est régi par le droit français et tout litige sera soumis à la juridiction exclusive des tribunaux de Paris. »
Comment négocier ces clauses avec votre fournisseur
Les fournisseurs d'IA, surtout les grands acteurs, peuvent résister à l'inclusion de ces clauses. Voici comment les convaincre et sécuriser vos intérêts.
1. Anticipez les objections courantes
Les fournisseurs invoquent souvent :
- Les secrets industriels : pour la documentation technique, proposez un accord de confidentialité (NDA) ou une version anonymisée des informations sensibles.
- La charge administrative : pour les audits, limitez leur fréquence à une fois par an et proposez de les réaliser en collaboration avec le fournisseur.
- Les coûts supplémentaires : pour les formations, négociez un forfait inclus dans le contrat ou des tarifs préférentiels.
2. Utilisez des arguments business
Mettez en avant :
- La réduction des risques : une clause de résiliation pour non-conformité protège les deux parties.
- La différenciation concurrentielle : un fournisseur conforme à l'AI Act peut valoriser cette conformité auprès de ses clients.
- L'accès aux marchés publics : la conformité à l'AI Act est souvent un prérequis pour répondre aux appels d'offres européens.
3. Priorisez les clauses non négociables
Certaines clauses sont essentielles et ne doivent pas être sacrifiées :
- La fourniture de la documentation technique (Annexe IV).
- La notification des incidents sous 72 heures.
- Le droit d'audit annuel.
- La clause de résiliation pour non-conformité.
Pour les autres clauses, soyez prêt à faire des compromis, par exemple sur la fréquence des audits ou le format des logs.
Articulation avec le RGPD et autres réglementations
Les clauses AI Act doivent être coordonnées avec les autres obligations légales, notamment le RGPD. Voici comment éviter les redondances et les contradictions.
1. Complémentarité avec le RGPD
Le RGPD impose déjà des clauses contractuelles pour les sous-traitants (Article 28). Ces clauses peuvent être complétées par les exigences de l'AI Act, sans duplication inutile. Par exemple :
- Notification des violations de données : le RGPD impose un délai de 72 heures (Article 33), similaire à l'AI Act pour les incidents graves. Une seule clause peut couvrir les deux obligations.
- Droit d'audit : le RGPD prévoit déjà un droit d'audit pour les sous-traitants. Ajoutez simplement les exigences spécifiques de l'AI Act (documentation technique, gestion des risques).
- Conservation des logs : les logs AI Act peuvent servir de preuve pour les droits des personnes (droit d'accès, droit à l'explication) prévus par le RGPD.
2. Coordination avec les autres réglementations sectorielles
Selon votre secteur, d'autres réglementations peuvent s'appliquer :
- DORA (secteur financier) : impose des exigences strictes en matière de résilience opérationnelle, incluant la gestion des risques liés aux systèmes d'IA.
- Règlement sur les dispositifs médicaux (MDR) : pour les systèmes d'IA utilisés en santé, les exigences de l'AI Act s'ajoutent à celles du MDR.
- Règlement sur les services numériques (DSA) : pour les plateformes en ligne utilisant l'IA, le DSA impose des obligations de transparence supplémentaires.
Pour éviter les contradictions, désignez un responsable de la conformité réglementaire au sein de votre organisation, chargé de coordonner les exigences de l'AI Act avec les autres réglementations applicables.
Vos contrats IA sont-ils conformes à l'AI Act ?
Identifiez en 3 minutes les clauses manquantes dans vos contrats avec les fournisseurs d'IA et recevez un rapport personnalisé avec des recommandations concrètes.
Questions fréquentes
Réponses aux questions les plus courantes sur les clauses contractuelles AI Act.
Si votre fournisseur refuse d'inclure ces clauses, évaluez d'abord son niveau de résistance. Pour les clauses essentielles (documentation technique, notification des incidents, droit d'audit), insistez sur leur caractère non négociable, en invoquant les obligations légales de l'AI Act et les risques encourus en cas de non-conformité.
Si le fournisseur reste inflexible, envisagez de :
- Négocier des clauses alternatives, par exemple en limitant le droit d'audit à une fois tous les deux ans.
- Exiger des garanties financières pour couvrir les risques liés à la non-conformité.
- Rechercher un autre fournisseur plus coopératif, surtout si le système d'IA est critique pour votre activité.
Dans tous les cas, documentez par écrit les refus du fournisseur et les raisons invoquées. Cette documentation pourra être utile en cas de litige ou de contrôle par les autorités.
L'AI Act impose des obligations différentes selon le niveau de risque du système d'IA. Pour les systèmes non haut risque, certaines clauses restent pertinentes, notamment :
- Transparence : l'Article 50 impose aux fournisseurs de systèmes d'IA non haut risque de fournir des informations claires sur leurs capacités et limitations. Une clause contractuelle peut formaliser cette obligation.
- Notification des incidents : même pour les systèmes non haut risque, il est recommandé d'exiger une notification des incidents graves, ne serait-ce que pour des raisons opérationnelles.
- Formation des utilisateurs : l'Article 4 sur la maîtrise de l'IA s'applique à tous les systèmes, quel que soit leur niveau de risque.
En revanche, les clauses relatives à la documentation technique (Annexe IV), au marquage CE ou à la gestion des risques ne s'appliquent pas aux systèmes non haut risque. Adaptez vos contrats en conséquence.
Pour vérifier le respect des obligations contractuelles par votre fournisseur, mettez en place les mesures suivantes :
- Audits réguliers : utilisez le droit d'audit prévu dans le contrat pour vérifier la conformité de la documentation technique, des logs et des procédures de gestion des risques.
- Tableaux de bord de suivi : exigez du fournisseur qu'il vous fournisse régulièrement des indicateurs de conformité, par exemple le nombre d'incidents notifiés ou les mises à jour apportées au système.
- Tests aléatoires : réalisez des tests ponctuels pour vérifier la traçabilité des décisions ou l'efficacité des mesures de gestion des risques.
- Revue annuelle du contrat : organisez une réunion annuelle avec le fournisseur pour faire le point sur le respect des obligations et identifier les axes d'amélioration.
En cas de manquement, utilisez les mécanismes prévus dans le contrat, comme les mises en demeure ou la résiliation pour non-conformité.
Si le fournisseur ne respecte pas son obligation de notification des incidents dans les 72 heures, suivez cette procédure :
- Mise en demeure : envoyez une mise en demeure écrite au fournisseur, en rappelant ses obligations contractuelles et légales. Exigez une notification immédiate de l'incident et une explication des raisons du retard.
- Évaluation des risques : en l'absence de notification, évaluez vous-même les risques liés à l'incident, en vous basant sur les informations disponibles. Si nécessaire, suspendez l'utilisation du système pour limiter les dommages.
- Notification aux autorités : si l'incident est grave et que le fournisseur ne le notifie pas, vous pouvez être tenu de le notifier vous-même à l'autorité compétente, conformément à l'Article 73.
- Sanctions contractuelles : appliquez les sanctions prévues dans le contrat, comme des pénalités financières ou la résiliation pour non-conformité.
- Recours juridique : si le manquement du fournisseur cause un préjudice à votre organisation, envisagez un recours en justice pour obtenir réparation.
Documentez toutes les étapes de cette procédure pour prouver votre diligence en cas de contrôle par les autorités.
Non, l'AI Act ne permet pas de transférer toutes les obligations du déployeur au fournisseur. Certaines obligations restent de la responsabilité exclusive du déployeur, notamment :
- La classification du système : le déployeur doit vérifier que le système est correctement classé par le fournisseur et adapter ses mesures de conformité en conséquence.
- La supervision humaine : l'Article 26(1) impose au déployeur de superviser l'utilisation du système d'IA, même si le fournisseur en assure la maintenance.
- La formation des utilisateurs : bien que le fournisseur doive fournir les supports de formation, le déployeur reste responsable de la formation effective de ses équipes.
- La notification aux autorités : en cas d'incident grave, le déployeur peut être tenu de notifier l'autorité compétente, même si le fournisseur a déjà effectué cette notification.
L'Article 26(5) précise que le déployeur ne peut pas se décharger de ses obligations en invoquant un contrat avec le fournisseur. La contractualisation permet de partager les responsabilités, mais pas de les transférer intégralement.