Les rendez-vous experts – Contrats IT

De notre expérience en matière de rédaction et de négociation des contrats relatifs à l’intelligence artificielle, deux constats s’imposent :

Constat n° 1

Parmi l’ensemble des textes récents en matière d’IT, le Règlement IA est sans doute celui qui se montre le plus discret sur le terrain contractuel — en tous cas si on le compare au RGPD (art. 28), à DORA (art. 30), à NIS 2 ou encore au Data Act ;

Constat n° 2

Les contrats sur lesquels les entreprises nous sollicitent restent, pour l’essentiel, très « classiques » dans leur intitulé : conseil, AMO, licence, intégration, maintenance, etc.

Sur le papier, rien ne change. Les exigences fondamentales demeurent : un objet, un calendrier, des obligations réciproques, un prix, des clauses de responsabilité, des stipulations RGPD, des garanties, etc. Une licence encadre les conditions d’usage, un contrat d’intégration organise le déploiement de la solution, une maintenance assure son fonctionnement.

Pourtant, la réalité de terrain est sensiblement différente.

Elle nous conduit à nous interroger non seulement sur la nature de ces contrats, mais aussi sur leurs clauses les plus sensibles et, parfois, sur la nécessité de rédiger des stipulations entièrement nouvelles.

Cette situation tient principalement à deux facteurs :
• La nature même du “produit IA”, qui constitue un objet contractuel singulier ;
• Le Règlement IA, qui impose des obligations différenciées selon le type de système d’IA et le rôle des acteurs impliqués.

Avec les contrats IA, rien ne change… mais tout est différent, et il devient nécessaire de repenser une grande partie des mécanismes contractuels traditionnels.

Repenser la qualité des parties

Tout commence par la qualification des parties.

À l’instar du RGPD (responsable de traitement / sous-traitant) ou de DORA (prestataire critique ou essentiel), les contrats IA imposent de trancher une question structurante : qui est qui ?

Fournisseur, déployeur, distributeur, importateur : le contrat doit positionner clairement chaque acteur au regard du Règlement IA.

De cette qualification découleront non seulement des obligations juridiques spécifiques entre les parties, mais également vis-à-vis des autorités et des tiers.

Repenser le sujet de droit

La seconde étape consiste à qualifier le système d’IA lui-même.

IA à haut risque, IA à risque limité, système hybride : selon cette qualification, les engagements pesant sur le prestataire — et, par ricochet, sur le client — varient fortement. Cette analyse devient un préalable indispensable à toute négociation contractuelle sérieuse.

Repenser la qualité produit et la satisfaction client

L’IA est un produit particulier : elle est, par nature, imparfaite lors de sa mise en service et appelée à évoluer dans le temps.

Ses performances dépendent de nombreux paramètres : qualité des données d’entraînement, qualité des données d’entrée, pertinence des prompts, supervision humaine, mécanismes d’apprentissage, etc.

Cela remet en cause des notions pourtant classiques en droit des contrats IT : conformité à l’offre, performance attendue, qualité du livrable.

Le contrat IA ne raisonne plus seulement en termes d’« objet », mais en termes d’objectifs : que cherche concrètement le client ? Quels usages sont autorisés ? Comment mesurer l’atteinte — ou la non-atteinte — de ces objectifs ?

Repenser la recette

Dans la même logique, la recette « classique », fondée sur des critères figés et une validation binaire conforme / non conforme, perd largement de sa pertinence.

La mise en production demeure essentielle, mais la recette change de nature, elle devient progressive, structurée autour de paliers de maturité, d’indicateurs d’usage et de mécanismes d’amélioration continue.

Repenser la collaboration client / prestataire

Les obligations juridiques pesant sur l’entreprise qui déploie une IA — en particulier celles du déployeur au sens du Règlement IA — imposent une collaboration renforcée.

Le prestataire ne se limite plus à une assistance technique.

Il doit être en mesure d’accompagner le client dans la satisfaction de ses obligations : gouvernance, gestion des risques, documentation, supervision humaine, conduite du changement, voire assistance juridico-technique (par exemple en amont d’une analyse d’impact).

Repenser la responsabilité et l’allocation des risques

L’un des enjeux majeurs des contrats IA réside dans l’allocation des responsabilités : qui assume les biais ? les hallucinations ? les erreurs de décision ? la non-conformité réglementaire ?

Ces sujets ne peuvent plus être traités par de simples clauses de responsabilité « standards ». Ils appellent des mécanismes spécifiques, adaptés à la nature évolutive et probabiliste de l’IA.

Repenser les SLA et les KPI

Si les SLA et KPI historiques (GTI, GTR, disponibilité, etc.) conservent une utilité, l’essentiel se situe désormais ailleurs.

Les contrats IA doivent intégrer de nouvelles métriques : taux d’erreur, biais, hallucinations, degré de supervision humaine, mécanismes de correction, capacité d’apprentissage et de réversibilité.

Repenser la confidentialité

La confidentialité doit également être abordée sous un angle renouvelé.

Il est essentiel que l’expérience acquise pour un client ne bénéficie pas indûment à un autre.

Mais l’enjeu principal réside dans la réutilisation des données du client, la séparation des environnements et les garanties d’étanchéité (Chinese walls) entre projets et modèles.

Repenser les garanties

Enfin, les garanties classiques (disponibilité, pérennité, scalabilité) conservent leur utilité, mais doivent être complétées par des garanties spécifiques à l’IA : traçabilité, explicabilité, rejouabilité, gestion des versions, auditabilité et conformité réglementaire.

Conclusion

Ces exemples — et il y en a bien d’autres — illustrent une réalité simple : si les contrats IA restent juridiquement des contrats IT, ils ne peuvent plus être traités comme tels.

Utiliser des contrats IT classiques pour encadrer un projet d’IA constitue aujourd’hui un non-sens juridique, mais aussi un risque opérationnel et réglementaire, tant pour le client que pour le prestataire.