Lorsqu’un contrat implique de l’intelligence artificielle (ci-après « IA ») générative, le réflexe est souvent de le traiter comme un contrat IT — parce que c’est du numérique, parce que c’est de la technologie. Or, les risques juridiques liés aux outputs (également désignés « données de sortie ») générés par l’IA dépassent largement le seul périmètre informatique et concernent potentiellement tout type de prestation dès lors qu’une composante d’IA générative est en jeu. Dans ce contexte, comment sécuriser contractuellement la titularité de ces outputs[1] ?

1. Les outputs d’IA générative :  une protection conditionnée à la contribution humaine

En droit français, la protection par le droit d’auteur suppose une œuvre de l’esprit résultant d’un effort créatif humain (CPI, art. L. 111-1). Cette exigence d’originalité — entendue comme l’empreinte de la personnalité de l’auteur — est au fondement même du droit d’auteur.

La question de savoir dans quelle mesure la rédaction d’un prompt (instruction textuelle adressée à l’IA générative) peut constituer une telle contribution créative reste aujourd’hui ouverte : les juridictions françaises ne se sont pas encore prononcées clairement sur ce point et la doctrine demeure réservée, de nombreux paramètres de l’output demeurant hors du contrôle de l’auteur du prompt.

Aucun texte législatif, français ou européen, n’est par ailleurs venu clarifier ce point. Si le règlement (UE) 2024/1689 du 13 juin 2024 sur l’IA (dit « AI Act ») prévoit certaines obligations de transparence applicables à des contenus générés ou manipulés par une IA (AI Act, art. 50), il ne traite pas de la titularité des droits sur ces outputs.

Dans ces conditions, le contrat demeure le principal outil permettant d’organiser la répartition des éventuels droits et des risques entre les parties.

2. Les points de vigilance contractuels

Avant même d’aborder les stipulations de fond, une question préalable s’impose : quelle est la loi applicable au contrat ? Selon la juridiction retenue, les règles de protection — et donc le régime applicable à la propriété des outputs — peuvent différer substantiellement. Le choix de la loi applicable n’est donc pas une clause de style mais un véritable enjeu stratégique pouvant affecter l’existence même d’une protection accordée aux outputs d’IA.

Pour les contrats soumis au droit français, trois axes structurent généralement la négociation :

• Les droits respectifs des parties sur les outputs générés par l’IA. Le fournisseur conserve-t-il certains droits ? Bénéficie-t-il d’une licence d’utilisation (exclusive ou non) ou d’un transfert aussi large que possible des droits éventuellement attachés aux outputs ? Pour les livrables stratégiques, ces questions doivent être expressément encadrées.

• La garantie IP.Les modèles génératifs sont entraînés sur de vastes corpus dont la licéité n’est pas toujours établie.  En conséquence, il ne peut être exclu que certains outputs reproduisent ou incorporent, de manière non intentionnelle et sans sollicitation du client utilisateur, des éléments susceptibles d’être protégés par des droits de propriété intellectuelle. Dans ce cas, le client utilisateur pourrait être exposé en première ligne à des réclamations de tiers alors même que l’apparition de tels éléments ne résulterait ni de ses instructions ni de son intention. La clause de garantie doit donc couvrir spécifiquement ce risque et prévoir les conditions de prise en charge par le fournisseur des conséquences d’une éventuelle action. 

• La confidentialité des inputs (dits « données d’entrée »).Ce que l’on soumet à un système d’IA — données clients, documents internes, données à caractère personnel — peut présenter une valeur stratégique importante. Selon les CGU du fournisseur et la configuration du service, ces données peuvent notamment être réutilisées pour l’entraînement du modèle d’IA ou faire l’objet de traitements non souhaités par le client. La clause de confidentialité doit donc encadrer strictement les conditions d’utilisation des inputs et interdire toute réutilisation à des fins d’entraînement ou d’amélioration du modèle sans accord préalable du client.

3. Les clauses à insérer dans vos contrats

Les points de vigilance susvisés se traduisent concrètement par sept stipulations à insérer — ou à renforcer — dans tout contrat comportant une composante d’IA générative :

• Clause relative aux droits sur les outputs : attribution au client des droits les plus étendus possibles sur les outputs et, le cas échéant, transfert des droits de propriété intellectuelle susceptibles d’y être attachés.
• Clause de garantie IP : garantie du fournisseur contre les réclamations de tiers fondées sur une atteinte aux droits de propriété intellectuelle, assortie d’un mécanisme d’indemnisation adapté.
• Clause de non-réutilisation des inputs et des outputs: interdiction d’utiliser les inputs et, le cas échéant, les outputs pour entraîner ou améliorer les modèles d’IA sans autorisation du client.
• Clause de conformité AI Act : engagement du fournisseur à respecter les obligations réglementaires applicables aux modèle et système d’IA utilisés – avec, en particulier, le respect du droit d’auteur et des droits voisins, la publication du résumé suffisamment détaillé des données d’entraînement (AI Act, art. 53) ainsi que les obligations de transparence (AI Act, art. 50).
• Clause de limitation de responsabilité adaptée : réexamen des plafonds de responsabilité afin de tenir compte des risques spécifiques liés à la propriété intellectuelle et à l’IA.
• Clause d’audit : droit pour le client de vérifier le respect des engagements relatifs aux données, à la sécurité et à la conformité réglementaire.
• Clause de loi applicable : dans les contrats à dimension internationale – ce qui sera le cas pour la plupart des grands fournisseurs d’IA aujourd’hui connus, souvent établis hors de l’Union européenne – détermination réfléchie de la loi gouvernant le contrat et les droits susceptibles d’être attachés aux outputs.

Les droits attachés aux outputs d’IA générative ne se présument pas : ils se négocient. 

En l’absence de jurisprudence et de cadre juridique stabilisé en droit français et européen sur l’attribution des droits attachés aux outputs générés par l’IA, le contrat demeure, pour l’heure, le principal instrument de sécurisation des parties. 

Dans l’intervalle, la rapidité d’adoption de l’IA générative dans des prestations toujours plus variées impose d’agir sans attendre en dehors du seul cadre des projets IT : en sécurisant les nouveaux contrats, mais aussi en auditant ceux déjà en cours, souvent conclus avant que ces enjeux n’aient été clairement identifiés.

[1] Les développements qui suivent portent sur les contrats négociés. Les conditions générales d’utilisation (CGU) des fournisseurs d’IA qui s’imposent aux utilisateurs sans possibilité de négociation sont laissées de côté.