Mars 02 2026

Pourquoi la loi sur les IA oblige-t-elle votre entreprise à assumer des risques juridiques que d'autres devraient prendre ?

Patricia MansoPar Patricia Manso, avocate spécialisée en droit des sociétés et des technologies

Web: www.patriciamanso.com

LinkedIn: https://www.linkedin.com/in/patriciamanso/

Le règlement (UE) 2024/1689 relatif à l’intelligence artificielle (RIA) établit une chaîne de responsabilités à plusieurs niveaux, commençant par fournisseur de modèle de base, suivi par l'intégrateur qui l'incorpore dans un produit et se termine par le utilisateur final qui le déploie. Chaque maillon a ses propres obligations en matière de transparence, de gestion des risques et de conformité réglementaire.

Le problème est que les conditions d'utilisation des quatre principaux fournisseurs (OpenAI, Google, Anthropic et Microsoft) transfèrent la quasi-totalité de la responsabilité opérationnelle et juridique à l'intégrateur, c'est-à-dire à l'entreprise qui construit sur ce modèle.

L'entreprise assume les obligations les plus exigeantes de la loi sur l'IA en tant que fournisseur final du système, mais les conditions générales d'utilisation (CGU) du fournisseur du modèle lui refusent les outils nécessaires pour s'y conformer : elle ne peut pas auditer le modèle de base, elle n'a pas accès à la documentation technique interne requise par la norme et elle ne peut pas négocier de clauses de responsabilité partagée.

Qui est qui dans ce contexte ?

La loi sur l'IA et les contrats avec ces fournisseurs ne fonctionnent pas de la même manière selon votre position dans la chaîne de valeur. Avant de signer un contrat ou d'intégrer une API, votre entreprise doit définir précisément son rôle, car elle peut en cumuler plusieurs (certaines entreprises sont notamment à la fois intégrateurs et utilisateurs).

  • Les fournisseurs du modèle de base (OpenAI, Anthropic, Google, Microsoft) ont une responsabilité limitée du fait de leurs conditions d'utilisation. Dans certains cas, ils n'offrent d'indemnisation que pour les comptes Entreprise/API et uniquement en cas de violation de la propriété intellectuelle. Les hallucinations, les failles de sécurité et les erreurs factuelles ne sont couvertes par aucune condition d'utilisation, bien qu'une jurisprudence commence à se développer concernant ces limitations de responsabilité et leurs conséquences.
  • Intégrateur/Entreprise (Conçoit le modèle). Assume l'entière responsabilité opérationnelle transférée par les Conditions Générales d'Utilisation (CGU), mais ne peut ni auditer le modèle ni obtenir la documentation interne requise par la norme. Si votre entreprise intègre un modèle tiers dans un produit qu'elle commercialise dans l'UE, elle est considérée comme le fournisseur final du système. Cela peut impliquer des obligations telles que l'évaluation des risques, la supervision humaine, la documentation technique et, le cas échéant, la certification.
  • Déployeur / Utilisateur métier (utilise le système au sein de son organisation). Responsable en cas de modification du système ou d'utilisation hors de son cadre prévu. Peut être considéré comme un « fournisseur » à des fins réglementaires.

Compte tenu de cette situation, quelle serait la recommandation ?

Bien que les grandes plateformes n'acceptent généralement pas de modifications de leurs conditions générales d'utilisation pour les contrats de moindre envergure, il existe une marge de négociation et des décisions stratégiques qui peuvent réduire considérablement l'exposition de votre entreprise.

1. Avant de signer, évaluez votre exposition réelle.

  • Déterminez si le système final que vous développez sera classé comme présentant un risque élevé en vertu de la loi sur l'IA (annexe III). Si tel est le cas, les obligations de mise en conformité sont immédiates et le coût du non-respect de ces obligations est considérable.
  • Intégrez l'analyse juridique des conditions d'utilisation du fournisseur d'IA dans votre processus de vérification préalable technologique, au même niveau que l'évaluation technique du modèle.
  • Documentez par écrit les informations techniques fournies par le fournisseur concernant le modèle, ainsi que la documentation interne qu'il omet de communiquer. Ces informations seront utiles en cas d'inspection de l'AESIA.

2. Choisissez le niveau de contrat approprié

  • Ne traitez jamais les données client, les données personnelles ni les informations sensibles des comptes consommateurs (formules individuelles ou gratuites). Seuls les contrats Entreprise/API payants incluent une interdiction d'utilisation des données à des fins de formation, un accord de protection des données intégré et le niveau minimal de protection contractuelle.
  • Évaluez le coût du plan d'entreprise par rapport au coût prévu des responsabilités non couvertes. Une attention particulière doit être portée aux secteurs réglementés (santé, finance, ressources humaines).

3. Négocier des clauses spécifiques

  • Si vous disposez d'un volume suffisant, demandez expressément : (i) l'interdiction d'utiliser vos données pour l'entraînement de modèles, (ii) l'accès à une documentation technique suffisante pour votre évaluation de conformité à la loi sur l'IA, et (iii) une indemnisation étendue qui couvre les hallucinations, les biais et les erreurs factuelles ayant un impact sur les tiers au-delà de la propriété intellectuelle.
  • Dans vos contrats avec vos propres clients finaux, incluez des clauses qui transfèrent les risques non couverts par votre fournisseur de modèle et établissez des limitations de responsabilité alignées sur celles de vos fournisseurs.
  • Envisagez de faire appel à des fournisseurs européens ou à des modèles open source avec des licences permettant un audit complet lorsque le cas d'utilisation présente un risque élevé et que la documentation technique est essentielle.

Choisir un fournisseur d'IA et le niveau de contrat n'est pas une décision purement technique ou financière ; c'est un choix de gestion des risques juridiques et stratégiques. Votre entreprise pourrait contracter des obligations réglementaires impossibles à respecter sans la coopération du fournisseur. Définissez votre rôle, évaluez votre exposition et négociez en toute transparence avant d'intégrer une API à un produit commercial.

 

Partagez:

Innovation juridique

La technologie progresse de façon exponentielle. Les clients changent avec elle, ainsi que leurs besoins et ce qu'ils attendent de leurs avocats. Dans ce blog, nous parlerons de l'innovation, de la créativité et des technologies les plus avancées pour le secteur juridique. #legaltech #innovation #change

Auteurs: Moses Barrio, Eva bruch, Alex Dantart, Jordi Estalella, Laura Fauceur, Jordi Fernández, Manuel Fernández Condearena, Albert Ferré, Philippe Herrera, Elena Irazabal, Iñigo Jimenez, Patricia Manso, Sara Molina, Georges Morell, Véronique Pedron, Rocio Ramírez, Blanca Rodriguez, Barbara Roman, Alexandre Sánchez del Campo.
simplifier

Dernières entrées

15 Juin, 2026 Thomson Reuters contre ROSS Intelligence : Droit d’auteur, données d’entraînement et éthique de l’IA

8 Juin, 2026 Maintenant

2 Juin, 2026 Apprendre à désapprendre : la véritable transformation des cabinets d'avocats

25 mai 2026 IA juridique : de l'outil à l'infrastructure

18 mai 2026 Principales tendances de l'IA en 2026