Prime Conseil

Nous écrire
Retour au blog
26/02/2025

AI Act : quels impacts sur la pratique du contract management ?

Article de blog :
Pierre M.
ia act contract management

L’intelligence artificielle s’impose comme un enjeu stratégique dans la gestion des contrats, et son encadrement juridique continue d’évoluer à travers des textes comme l’IA Act. La semaine dernière, le Cigref a publié la section 1.2 de son guide dédié à sa mise en œuvre, mettant en lumière les principaux enjeux juridiques liés à l’IA. Cette section s’articule autour de quatre grandes thématiques directement impactantes pour le contract management : la propriété intellectuelle, le secret des affaires, la protection des données et la cybersécurité.

Au-delà d’une simple synthèse, cet article propose une lecture de ce guide sous l’angle du contract management. L’objectif : identifier les points de vigilance et fournir des recommandations pratiques aux contract managers pour mieux intégrer l’IA dans leurs contrats et stratégies de gestion contractuelle.

A. La propriété intellectuelle

Bien que la propriété intellectuelle, et notamment le droit d’auteur, soulève de nombreuses questions suite à la démocratisation des modèles d’IA, on pourra s’étonner du peu d’égard apporté au sujet dans l’IA Act.

En effet, seuls quelques articles abordent le sujet, principalement en faisant des renvois au « droit de l’Union » et au « droit national ». En matière de droits d’auteur par exemple, l’Article 53 impose aux fournisseurs de modèles d’IA « d’identifier et respecter, y compris au moyen de technologies de pointe, une réservation de droits » conforme à la directive sur le droit d’auteur et les droits voisins.

Quelques obligations spécifiques voient toutefois le jour, avec l’imposition pour les fournisseurs de modèles d’IA de rendre public « un résumé suffisamment détaillé » des données utilisées pour entraîner le modèle d’IA. Il faudra attendre encore quelques semaines pour qu’un modèle de résumé soit proposé par le Bureau européen de l’IA, institué par la commission européenne. Si le gouvernement français, via le CSPLA (Conseil supérieur de la propriété littéraire et artistique), a eu l’occasion de proposer son propre modèle et de formuler des premières recommandations en matière de rémunération des auteurs de contenus utilisés par les systèmes d’IA, il est encore trop tôt pour avoir une idée précise sur le contenu de ces résumés.

Trois recommandations pour les contract managers :

En l’état, on peut que recommander au contract manager de :

  • Réaliser une veille périodique, afin de suivre les évolutions tant au niveau des textes (par exemple pour le modèle de résumé à venir), qu’en matière jurisprudentielle ;
  • Renforcer les contrats avec des clauses dédiées à l’intelligence artificielle permettent bien de se prémunir contre d’éventuelles actions (en renforçant notamment les clauses de garantie d’éviction traditionnelles) ;
  • Prévoir contractuellement la remise de livrables permettant de documenter le processus créatif et l’effort intellectuel réalisé par chaque cocontractant  

B. Secret des affaires et confidentialité

Après la propriété intellectuelle, il s’agit de l’autre « hot topic » soulevé l’usage des systèmes d’IA.

Une nouvelle fois, l’IA Act se contente dans les grandes lignes de procéder à des renvois au « droit de l’Union » ainsi qu’au « droit national ». Fournisseurs comme utilisateurs de systèmes d’IA doivent ainsi respecter les règles de droit applicables en la matière.

Pas de recette miracle ni de baguette magique en matière de confidentialité, puisque les risques de collecte et divulgation, y compris involontaire, demeurent avec l’usage des systèmes d’IA.

Trois recommandations pour les contract managers :

Les précautions à prendre et bonnes pratiques à observer résident ainsi dans :

  • La mise en place d’une gouvernance solide des données permettant de garantir « que les informations sont utilisées de manière efficace et efficiente pour aider les organisations à atteindre leurs objectifs».
  • La limitation ou l’encadrement de l’usage des systèmes d’IA, notamment au travers de contrats et autres corpus documentaire afin de clarifier les conditions dans lesquelles ces outils peuvent être utilisés ou non, les données qui peuvent – ou non – être insérées dans ces données ;
  • La sensibilisation et la formation, en insérant dans vos supports de formation au contract management ou vos contract awareness une slide ou une section dédiée aux risques spécifiques liés à l’usage de l’IA.

C. Protection des données à caractère personnel

Sur ce point en revanche, l’IA Act est plus prolixe ! Sans apporter de dérogation aux règlements en place (dont le RGPD), le texte précise les exceptions et conditions dans lesquelles des données à caractère personnel peuvent être traitées par des systèmes d’IA.

Des précisions en matière de sécurité, de pseudonymisation ou encore d’information, de conservation, traitement et suppression sont ainsi introduites. La tenue de journaux générés automatiquement, ou encore l’isolement de données personnelles dans des sandbox d’entraînement sécurisées figurent parmi les nouveautés.

L’IA Act aborde également la question des « données non personnelles », matière première de l’intelligence artificielle, en ne procédant néanmoins qu’à très peu de renvois au Data Act. Ces deux textes ont ainsi vocation à coexister, particulièrement en ce qui concerne l’accessibilité et le partage des données.

Trois recommandations pour les contract managers :

  • Mettre à jour vos matrices d’analyse de risques et opportunités contractuels pour renforcer (ou insérer) les notions de gouvernance de la donnée, et des données à caractère personnel.
  • Réaliser une veille constante, tant au niveau doctrinal que jurisprudentiel, car des évolutions, précisions et revirements sont à attendre en 2025, ce qui devrait grandement influencer la façon dont les contrats sont rédigés, négociés et pilotés ;
  • Impliquer les DPO dans la rédaction et la négociation des contrats qui présentent des enjeux en la matière, pour garantir une prise en compte le plus en amont possible des risques et opportunités.

D. Cybersécurité

Nous avons abordé le sujet IA & cybersécurité la semaine passée au travers de notre lecture de la publication de l’ANSSI. Cependant, le guide du CIGREF aborde le point du point de vue de l’IA Act, ce qui offre un prisme de lecture complémentaire.

Tout d’abord, à l’instar des parties A et B ci-dessus, la cybersécurité est une thématique peu abordée (au moins directement) dans l’IA Act. En effet, si l’on retrouve quelques mentions éparses à la cybersécurité, on distingue très rapidement que les rédacteurs n’ont pas souhaité alourdir outre mesure les obligations en la matière.

Cependant, on notera quelques subtilités dans l’IA Act avec des exigences en matière de gouvernance des risques qui incluent le risque cyber, et prévoient notamment :

  • Une cartographie des risques incluant le risque cyber ;
  • La mise en place d’un système de gestion de risques pour les systèmes à risque élevé ;
  • Des exigences spécifiques en matière d’exactitude et de robustesse dans la conception et le développement des systèmes d’IA à risque élevé.
  • Ainsi que des mécanismes, non spécifiques à la cybersécurité mais susceptibles d’intégrer des paramètres de cybersécurité tels que la mise en place et la documentation d’un système de surveillance, l’enregistrement automatique des évènements, les mécanismes de signalement, de gouvernance, d’information des utilisateurs, etc.

Trois recommandations pour les contract managers :

  • Clarifier les rôles et responsabilités des cocontractants que ce soit en matière d’intégration de la cybersécurité au stade de la conception et du développement, dans la surveillance et détection de failles en cours d’exécution, ou encore en matière de réponse aux incidents.
  • Inclure parmi les livrables contractuels la documentation concernant les mesures de cybersécurité mises en place par les cocontractants, ainsi – lorsque pertinent – que la documentation permettant de tracer l’architecture du système d’IA ainsi que les mesures de sécurité mises en place sur chacun des composants ;
  • Prévoir des tests et audits réguliers tout au long de la vie du contrat, afin d’identifier de potentielles failles, éléments à corriger et ainsi limiter le risque que ces failles soient exploitées par des attaquants.

Conclusion :

Cette analyse du guide du Cigref met en évidence l’importance pour les contract managers d’anticiper les défis juridiques liés à l’IA. Que ce soit en matière de propriété intellectuelle, de confidentialité, de protection des données ou de cybersécurité, l’IA Act impose des obligations qu’il convient d’intégrer dès la rédaction et la négociation des contrats.

En complément des recommandations formulées, une vigilance accrue sur l’évolution du cadre réglementaire et jurisprudentiel sera essentielle dans les mois à venir. D’ailleurs, la suite du guide du Cigref promet d’aller plus loin : la partie 2 abordera les enjeux de gouvernance, tandis que la partie 3, consacrée aux contrats et à la responsabilité, devrait apporter des précisions fondamentales. Nous ne manquerons pas d’analyser ces prochaines sections afin de vous fournir les clés d’un contract management adapté aux nouveaux défis de l’IA.

Prime Conseil
Contract management excellence for sustainable profitability
Call to action
Découvrir
Les articles récents
Faisons connaissance
Email
contact@primeconseil.com
Blog
Les articles récents
Voir tous les articles de blog
Contact
Faisons connaissance
Email
contact@primeconseil.com
Adresse
2, Parvis des Ecoles - 83000 Toulon
38, Rue Jean Bouchet - 86000 Poitiers
40, Rue du Colisée - 75008 Paris
Téléphone
04 12 33 31 01
Restez informé, inscrivez-vous !
Retour en haut