AI Act et contrats SaaS : que prévoir pour les fournisseurs d’IA ?
Annexe IA, rôles, données, transparence, supervision humaine : les clauses à intégrer dans vos contrats SaaS à la lumière de l’AI Act.
L'AI Act introduit une approche graduée des systèmes d'IA, fondée sur le niveau de risque du système d'intelligence artificielle.
Mais une chose est claire : tout fournisseur de système d'IA est désormais concerné et doit intégrer des éléments à ses contrats, y compris lorsque le système n'est pas qualifié de « haut risque ».
Le contrat SaaS classique, même complété par un DPA, ne suffit plus. Il doit être enrichi par des clauses ou une annexe IA dédiée, afin de refléter les nouvelles obligations issues de l'AI Act et de sécuriser la relation avec les clients.
Même pour des systèmes d'IA « à risque limité », des outils d'aide à la décision, des moteurs de recommandation, ou des fonctionnalités IA intégrées dans un SaaS, le fournisseur doit désormais décrire le fonctionnement du système, encadrer les usages autorisés, préciser la répartition des responsabilités, et organiser la transparence et la conformité.
Une annexe IA permet de centraliser ces obligations, sans alourdir inutilement le contrat principal. Pour savoir pourquoi une clause IA dans un contrat SaaS est devenue indispensable, consultez l'article dédié.
Le premier enjeu contractuel posé par l'AI Act est la qualification des rôles.
Le contrat doit clairement identifier le fournisseur du système d'IA, le déployeur (le client qui l'utilise), et, le cas échéant, les fournisseurs de modèles ou sous-traitants IA.
Cette clarification est indispensable, quel que soit le niveau de risque du système. Elle permet d'éviter que le fournisseur ne supporte des obligations qui relèvent en réalité de l'usage fait par le client.
Un système d'IA ne doit jamais être décrit de manière générique.
Le contrat ou l'annexe IA doit préciser la finalité du système, les usages prévus, les usages exclus, et le rôle du système dans la prise de décision.
Cette précision est essentielle pour limiter la responsabilité du fournisseur, empêcher des détournements d'usage, et cadrer les attentes du client.
Plus le système se rapproche d'un usage sensible, plus cette description doit être précise.
L'AI Act impose un niveau de gouvernance proportionné.
Tous les fournisseurs doivent démontrer qu'ils ont identifié les risques liés à leur système, qu'ils ont mis en place des mesures de contrôle adaptées, et qu'ils surveillent les performances du système dans le temps.
Contractuellement, il est pertinent de prévoir l'existence d'un cadre de gestion des risques, l'accès à des informations de conformité, et une mise à jour régulière en cas d'évolution du système.
La question des données est critique. Le contrat doit encadrer la nature des données utilisées, les garanties mises en place pour éviter les biais manifestes, et la responsabilité du client dans la configuration du système.
Un point ressort de manière transversale : le fournisseur ne doit pas être responsable des choix opérés par le client, notamment lorsque celui-ci paramètre des critères ayant un impact juridique ou éthique.
L'AI Act impose une obligation de transparence graduée. Pour tous les systèmes d'IA, le fournisseur doit être capable de fournir une documentation compréhensible, des instructions d'utilisation, et des informations sur les limites du système.
Cette documentation n'est pas obligatoirement intégrée directement au contrat. Elle peut être mise à disposition via un trust center, sur demande, sous réserve de confidentialité. Cette approche protège à la fois la propriété intellectuelle du fournisseur et la confiance du client.
La supervision humaine n'est pas réservée aux systèmes à haut risque. Dès lors qu'un système d'IA influence une décision, le contrat doit préciser si une validation humaine est requise, qui en est responsable, et à quel moment elle intervient.
Plus le système est critique, plus cette exigence devient structurante. Mais même pour des systèmes plus simples, l'absence totale de supervision peut poser problème.
Tous les fournisseurs d'IA doivent prévoir contractuellement un niveau minimal de sécurité, des mécanismes de détection des incidents, et une procédure d'information du client.
Le contrat doit éviter toute ambiguïté sur ce qui constitue un incident, les délais de notification, et les rôles respectifs des parties. Pour approfondir ce point, consultez l'article sur la sécurité dans un contrat SaaS.
Un point est devenu central dans toutes les négociations IA : l'entraînement des modèles. Il est fortement recommandé de préciser que les données du client ne sont pas utilisées pour entraîner des modèles mutualisés, que les outputs restent la propriété du client, et que seules des données agrégées et anonymisées peuvent être exploitées par le fournisseur.
Cette clause est aujourd'hui déterminante pour la confiance commerciale.
L'AI Act impose une vision élargie de la chaîne de valeur IA. Le contrat doit identifier les fournisseurs de modèles, les sous-traitants techniques, et les mécanismes de notification en cas de changement. Pour approfondir la gestion des sous-traitants dans un contrat SaaS.
Même pour des systèmes simples, cette transparence est devenue une attente forte des clients.
L'AI Act ne concerne pas uniquement les systèmes d'IA à haut risque. Il impose à tous les fournisseurs de systèmes d'IA de repenser leur contractualisation. Le bon réflexe consiste à compléter le contrat SaaS, structurer une annexe IA proportionnée, clarifier les rôles et responsabilités, et anticiper les usages et les risques. Pour une vue d'ensemble des clauses à prévoir, consultez le guide de contractualisation SaaS. Si vous souhaitez structurer vos contrats IA, prenez rendez-vous.
Le Data Act encadre strictement les pénalités de résiliation SaaS. Frais autorisés, frais interdits, calendrier de suppression : ce qu'il faut savoir.
Votre entreprise est bloquée dans un contrat SaaS ? Le Data Act ouvre un droit de résiliation pour changer de prestataire. Conditions, procédure, pièges à éviter.
Avançons ensemble pour accélérer votre activité
J'accompagne les éditeurs de logiciels et de SaaS depuis plus de 10 ans, pour structurer leur activité, protéger leur propriété intellectuelle et améliorer leurs contrats.
