InitialInitial
Réserver un appel
← Retour au blog
IA et Droit8 min

Clause contractuelle sur l'utilisation de l'IA : modèle et bonnes pratiques

Rédigez des clauses IA conformes à l’AI Act et au RGPD : modèle prêt à l’emploi, bonnes pratiques, check-list, responsabilités, PI, données, SLA et audits.

Droit des affairesIntelligence artificielleContrats
ParJimmy HababouAvocat au barreau de ParisLinkedIn
Avocat et DSI relisant une clause IA sur un contrat avec schéma de conformité

L’essor des systèmes d’intelligence artificielle impose d’encadrer contractuellement leur usage. Depuis l’adoption du règlement européen sur l’IA (AI Act) le 13 juin 2024, des obligations précises pèsent sur les fournisseurs et déployeurs, en particulier pour les systèmes à haut risque. Sans clauses adaptées, l’entreprise s’expose à des non-conformités, des litiges de propriété intellectuelle, des fuites de données et, en dernier ressort, à des sanctions administratives significatives prévues par l’AI Act consultable sur EUR-Lex et au titre du RGPD selon la CNIL.

1) Cartographier l’usage et classer le système d’IA

Avant de rédiger, qualifiez le projet et le rôle de chaque partie (fournisseur, intégrateur, déployeur, sous-traitant). Cette étape conditionne les obligations issues de l’AI Act et du RGPD.

Classification AI Act et obligations clés

  • IA à haut risque: système soumis à exigences de gestion des risques, gouvernance des données, documentation technique, journalisation, supervision humaine, robustesse et précision, évaluation de conformité et marquage CE, surveillance post-commercialisation et signalement d’incidents (cf. AI Act).
  • IA d’usage général (GPAI) et modèles à risque systémique: obligations de documentation, transparence et gestion de la chaîne de valeur.
  • Pratiques interdites et exigences de transparence spécifiques (ex. étiquetage des contenus synthétiques/deepfakes).

Pour les traitements de données personnelles, la conformité RGPD reste impérative (base légale, minimisation, information, DPIA, gouvernance des sous-traitants), telle que rappelée par la CNIL et ses clauses contractuelles types R/T–S/T.

2) Les 12 clauses indispensables pour encadrer l’IA

1. Objet, périmètre et définitions

  • Définir « Système d’IA », « Données d’entraînement/validation », « Sorties », « Déployeur », « Fournisseur » au sens de l’AI Act.
  • Préciser objectifs, cas d’usage autorisés et interdits (ex. absence d’usage pour profilage sensible illégal).

2. Rôles et responsabilités AI Act

  • Identifier qui est « fournisseur » (responsable de conformité, marquage CE, doc technique) et qui est « déployeur » (mise en service, supervision, information des utilisateurs), conformément à l’AI Act.
  • Allouer contractuellement les tâches: gestion des risques, tenue des journaux, mises à jour, surveillance post-commercialisation.

3. Conformité réglementaire (AI Act, RGPD, droit national)

  • Clause de conformité continue à l’AI Act, y compris en cas de reclassification.
  • Respect du RGPD: base légale, information, DPIA, encadrement du sous-traitant selon les clauses types CNIL.
  • Coopération lors des audits/contrôles d’autorités (CNIL, autorités marché) et notification d’incidents graves d’IA selon l’AI Act.

4. Données d’entraînement et gouvernance

  • Garantie de collecte licite et loyale, absence d’atteinte aux droits de tiers, traçabilité des sources et documentation des jeux de données.
  • Qualité/biais: procédures de nettoyage, représentativité, évaluation de dérives. Exiger des « datasheets » et journaux techniques.

La CNIL fournit des repères utiles sur les exigences de qualité, minimisation et sécurité des données dans les projets IA (CNIL – IA).

5. Propriété intellectuelle (PI) et droits sur les sorties

  • Garantie de titularité/licences des composants, datasets et modèles utilisés; indemnisation en cas de contrefaçon.
  • Régime des sorties: droits d’usage/exploitation, restrictions, réaffectation. Encadrer le text and data mining et les bases protégées.

Pour sécuriser vos titres (marques, dessins, brevets, droits d’auteur), référez-vous aux bonnes pratiques de l’INPI. Les règles générales des contrats et de la responsabilité figurent sur Légifrance (Code civil, secret des affaires, etc.).

6. Transparence, étiquetage et supervision humaine

  • Information claire des utilisateurs finaux sur l’usage de l’IA, ses limites et les cas de recours à un humain.
  • Étiquetage des contenus générés lorsque requis (deepfakes) et journalisation des interactions critiques.

7. Performance, biais, SLA et acceptation

  • Seuils de performance mesurables (précision, taux d’erreur, latence), procédures de tests d’acceptation et de réentraînement.
  • SLA adaptés à l’IA: disponibilité, temps de réponse, taux de faux positifs/négatifs, pénalités financières.

8. Sécurité, cybersécurité et incidents

  • Mesures techniques et organisationnelles renforcées (chiffrement, contrôle d’accès, défense contre l’empoisonnement des données, exfiltration et jailbreaks).
  • Assurance cyber annuelle obligatoire du prestataire et plan de réponse aux incidents aligné avec les recommandations CNIL.

9. Confidentialité, localisation et transferts

  • Confidentialité et secret des affaires (référence au droit français disponible sur Légifrance), cloisonnement des environnements d’entraînement et d’inférence.
  • Localisation UE des données sensibles; encadrement des transferts hors UE; prise en compte des législations extraterritoriales.

10. Responsabilité, plafonds et exclusions équilibrés

  • Double plafond: responsabilité contractuelle générale vs. responsabilité liée aux données/PI, avec carve-outs (atteinte aux droits fondamentaux, violations RGPD, fraude, dol).
  • Mécanisme d’indemnisation proportionné et respect des principes généraux du droit des contrats français (voir Code civil).

11. Réversibilité, portabilité et escrow

  • Restitution/export des données, prompts, logs et artefacts d’entraînement; format ouvert; assistance sans surcoût indu.
  • Escrow/entiercement du modèle ou des poids quand c’est pertinent (SaaS critique, on-prem).

12. Audit, pénalités et résiliation

  • Droit d’audit des environnements pertinents (y compris des sous-traitants critiques) et remédiation sous délais contractuels.
  • Résiliation pour manquement grave à l’AI Act/RGPD; pénalités en cas de non-conformité répétée.

Pour les acteurs publics, la Commission européenne a publié en 2025 des modèles de clauses volontaires pour l’achat de solutions d’IA. Leur intégration doit s’articuler avec le Code de la commande publique consultable via Légifrance et les procédures du portail Service Public Pro.

3) Modèle de clause contractuelle IA (extrait prêt à l’emploi)

Objet. Le Fournisseur met à disposition du Client un système d’intelligence artificielle « [Nom du Système IA] » aux fins de [Objectifs], dans le respect du règlement (UE) sur l’IA et du RGPD.

Rôles. Le Fournisseur agit en tant que « fournisseur » au sens de l’AI Act et, lorsque pertinent, en tant que sous-traitant au sens du RGPD. Le Client agit en tant que « déployeur » et, le cas échéant, en tant que responsable de traitement.

Conformité. Le Fournisseur garantit que le Système IA respecte les obligations applicables (gestion des risques, gouvernance des données, documentation, journalisation, supervision humaine, marquage CE, surveillance post-commercialisation). Le Client s’engage à utiliser le Système IA conformément aux usages autorisés et à assurer les informations requises aux utilisateurs finaux.

Données et traçabilité. Le Fournisseur déclare que les données d’entraînement ont été collectées et utilisées licitement et fournit, sur demande, une documentation sur les sources, la méthodologie d’annotation, les tests de biais et les métriques de performance.

Transparence. Les contenus générés sont signalés lorsque requis par la réglementation. Le Client maintient une supervision humaine effective pour les décisions significatives.

PI. Le Fournisseur garantit détenir les droits nécessaires sur les composants (modèles, jeux de données, bibliothèques) et indemnise le Client contre toute réclamation de tiers. Les Sorties sont concédées au Client pour [exploitation/autres], sous réserve des droits de tiers et de la loi.

Sécurité. Le Fournisseur met en œuvre des mesures de sécurité adaptées (contrôle d’accès, chiffrement, défense contre attaques adversariales) et notifie sans délai indu tout incident de sécurité ou tout incident grave au sens de l’AI Act.

Localisation et transferts. Les données du Client sont traitées et hébergées dans [pays], sans transferts hors UE sauf encadrement légal adéquat et information préalable.

Responsabilité. La responsabilité agrégée du Fournisseur au titre du présent Contrat est plafonnée à [x] % des sommes facturées sur les [12] derniers mois, hors violations de données personnelles, atteintes aux droits fondamentaux, contrefaçon et fraude.

Audit. Le Client peut auditer, directement ou via un tiers indépendant, les mesures de conformité et de sécurité, dans des conditions raisonnables de préavis et de confidentialité.

Réversibilité. À l’échéance, le Fournisseur assiste le Client pour exporter données, prompts, logs et artefacts d’entraînement dans un format ouvert, sans surcoût non justifié.

Résiliation. Chacune des Parties peut résilier en cas de manquement grave non remédié sous [30] jours, notamment en cas de non-conformité à l’AI Act/RGPD.

Adaptez cet extrait à votre contexte, à la classification du système et au partage des rôles dans la chaîne de valeur. Les clauses RGPD entre responsable et sous-traitant doivent refléter les exigences publiées par la CNIL.

4) Spécificités par type de contrat

SaaS d’IA

  • Insister sur la portabilité, la réversibilité sans surcoût, les SLA orientés qualité du modèle, les mises à jour régulières et la notification des changements de version.
  • Prévoir une politique d’usage acceptable (AUP) interdisant les usages illégaux/discriminatoires et un mécanisme de signalement d’incidents.

Intégration on-prem/edge

  • Préciser l’environnement cible, les exigences matérielles, les cycles de réentraînement, l’accès au code/poids sous escrow et les obligations d’audit renforcées.

Marchés publics

  • Articuler les clauses IA avec le Code de la commande publique (voir Légifrance) et les modèles de clauses UE publiés en 2025 pour l’achat d’IA.
  • Exiger traçabilité renforcée, logs consultables et coopération aux contrôles.

5) Processus contractuel « AI-first » et gouvernance

  • NDA précontractuel, cahier des charges détaillé (données d’entrée, intégrations, critères de qualité, coûts cachés), POC cadré.
  • Critères de sélection: conformité AI Act/RGPD, transparence du fournisseur, assurance cyber, localisation des serveurs, réversibilité.
  • Comité de pilotage éthique et risques, registre des traitements et des systèmes d’IA, DPIA quand nécessaire.

Besoin d’un accompagnement bout-en-bout et de modèles contractuels prêts à l’emploi ? Découvrir nos offres juridiques et comprendre notre méthode AI-first.

6) Check-list opérationnelle

  • Qualifier le système (haut risque/GPAI/autre) et les rôles (fournisseur/déployeur).
  • Documenter données d’entraînement (sources, licences, biais) et tests.
  • Clauses: conformité AI Act/RGPD, PI, transparence, sécurité, localisation, responsabilité, audit, réversibilité, SLA et pénalités.
  • Prévoir assurance cyber, droit d’audit chez les sous-traitants critiques et mécanismes de signalement d’incidents.

Pour un cadrage complémentaire des obligations d’entreprise, consultez Service Public Pro. Sur les principes contractuels et la responsabilité, référez-vous à Légifrance. Des repères pratiques sont également proposés par des praticiens du droit, par exemple Avocats Mathias et AGN Avocats.

7) Risques et sanctions

Le non-respect des exigences de l’AI Act peut entraîner des amendes administratives significatives (jusqu’à 35 M€ ou 7 % du CA mondial pour certaines violations graves), comme rappelé dans le texte accessible sur EUR-Lex. Les manquements RGPD sont également sanctionnés par les autorités selon le cadre détaillé par la CNIL.

Pour aller plus loin

Consultez nos guides connexes : RGPD et intelligence artificielle : obligations legales, AI Act europeen : guide complet et Automatiser la redaction de contrats avec l'IA.

FAQ rapide

Une clause IA est-elle nécessaire si j’ai déjà des CGV/CGU SaaS ?

Oui. L’IA introduit des risques spécifiques (données d’entraînement, biais, transparence, supervision humaine) absents des SaaS classiques. Des clauses dédiées sont indispensables.

Qui est responsable des sorties erronées de l’IA ?

La responsabilité dépend des rôles (fournisseur/déployeur), des engagements de performance, de la supervision humaine et des usages autorisés. Prévoyez des plafonds et carve-outs équilibrés.

Dois-je interdire les transferts de données hors UE ?

Pas nécessairement, mais ils doivent être encadrés juridiquement (garanties adéquates) et proportionnés. La localisation UE est recommandée pour les données sensibles.

Pour aller plus loin, lire d’autres analyses IA et droit ou échanger avec nos avocats.

Ressources connexes

RGPD et intelligence artificielle : obligations legalesAI Act europeen : guide completAutomatiser la redaction de contrats avec l'IAResponsabilite civile et IAContrat de prestation de services : modele et vigilance

FAQ

Quelles sont les clauses indispensables à un contrat d’IA ?

Objet et définitions, rôles/fournisseur–déployeur, conformité AI Act/RGPD, gouvernance des données, PI, transparence/supervision, performance et SLA, sécurité, confidentialité/localisation, responsabilité, réversibilité, audit et résiliation.

Comment traiter la propriété intellectuelle des données et des sorties ?

Garantir la licéité et la titularité des datasets et composants, définir les droits d’usage des sorties, prévoir une indemnisation en cas d’atteinte aux droits de tiers et articuler le tout avec les règles françaises de PI (INPI) et le Code civil.

Comment concilier AI Act et RGPD dans un même contrat ?

Allouer les obligations selon les rôles (fournisseur/déployeur), reprendre les exigences AI Act (risques, doc, logs, CE) et intégrer les clauses RGPD CNIL pour les traitements de données personnelles (base légale, sous-traitance, transferts, DPIA).

Faut-il prévoir une assurance spécifique côté fournisseur d’IA ?

Oui, une assurance cyber annuelle avec plafond adapté au risque et au périmètre (données sensibles, criticité métier) est recommandée, assortie d’obligations de sécurité et d’un plan de réponse aux incidents.

Quelles sanctions en cas de non-conformité à l’AI Act ?

Des amendes administratives pouvant atteindre jusqu’à 35 M€ ou 7 % du CA mondial pour certaines violations graves (selon le texte AI Act publié sur EUR-Lex), en plus des sanctions RGPD le cas échéant.

Sources utilisées