Contrats d'IA générative : quelques clés pour structurer un bon contrat

Date : Tags : , , , ,

Gérer l'IA en entreprise nécessite de comprendre le cycle de vie de la donnée dans l'univers IA

Dans le cadre d'un projet d'IA générative interne, il faut cartographier tout le cycle de vie des données :

  1. Avant l'IA - Données historiques que vous fournissez (bases documentaires, tickets, e‑mails, dépôts de code...). Qui les prépare ? Qui les anonymise ?
  2. Pendant - Données de prompts et de réponses, logs techniques, métadonnées. Sont‑elles stockées ? Pour combien de temps ? Dans quel pays ?
  3. Après - Données dérivées (embeddings, vecteurs, modèles affinés, évaluations humaines). À qui appartiennent elles ? Qui peut les réutiliser ?

Sachant que ces données peuvent être :

  • des données personnelles ou professionnelles identifiantes,
  • des secrets d'affaires, du know‑how, des algorithmes métier,
  • des documents contractuels stratégiques (contrats clients, code source, cahiers des charges, etc.).

Quelques pièges contractuels dans les projets d'IA générative

1. Confondre entraînement, amélioration de service et support

Attention aux formulations du type : "Le Client autorise le Fournisseur à utiliser les Données Client pour améliorer les Services", qui  permet  en pratique :

  • d'entraîner ou d'affiner des modèles génériques sur la base de vos données,
  • d'alimenter des fonctionnalités futures, y compris destinées à d'autres clients,
  • d'utiliser vos prompts et vos retours utilisateurs comme matière première.

3. Sous estimer la complexité de la réversibilité

Avec l'IA générative, la réversibilité ne se limite pas à récupérer des bases de données :

  • il faut récupérer vos corpus de référence enrichis, vos taxonomies, vos modèles d'inférence,
  • il faut éviter qu'un fournisseur garde, post‑contrat, un modèle ou un ensemble d'embeddings calibrés à votre image.

Les clauses à soigne dans un contrat d'IA générative 

1. Segmenter clairement les flux de données

Distinguer explicitement :

  • Données Client brutes (vos documents, tickets, sources, etc.),
  • Données opérationnelles (prompts, logs, feedbacks),
  • Données dérivées (vecteurs, modèles affinés, évaluations),
  • Métadonnées techniques (télémétrie, performance, statistiques agrégées).

Pour chacune de ces catégories, il préciser :

  • qui est titulaire des droits,
  • à quelles fins le fournisseur peut les utiliser (et à quelles fins il ne peut pas),
  • les durées de conservation, y compris post‑contrat,
  • les conditions de restitution, d'effacement et de purge.

2. Encadrer l'entraînement et la mutualisation

  • interdire par principe tout entraînement de modèles génériques sur la base de vos données, sauf accord spécifique et documenté,
  • autorise éventuellement l'usage de statistiques agrégées et anonymisées, sous contrôle,
  • réserver explicitement à votre bénéfice l'usage de tout modèle affiné sur vos corpus internes.

À lire également

Date :
Par un arrêt rendu le 14 février 2024 (Chambre sociale, n° 22-23.073) la Cour de Cassation a entaillé le caractère prétendument absolu du droit des personnes à être informées des traitements de données personnelles les concernant.
Date :
En droit français, la définition de la signature électronique (Art. 1367 Al.2 Code civil) suppose un « lien » entre l’acte et la signature identifiant son auteur. Cette notion de lien se retrouve dans la définition de la signature avancée figurant au Règlement européen eIDAS (Art. 26) qui dispose que la signature avancée doit être « liée au signataire de manière univoque ». Mais la signification de ce lien n’est pas évidente. Nous pensons qu’il peut être compris selon trois approches : une approche conceptuelle qui projette sur la signature électronique une caractéristique de la signature manuscrite ; une approche technique le définissant via la technologie de la signature électronique ; et enfin une approche opportuniste liée au développement du certificat à la volée et de la notion de fichier de preuve, largement adoptée par les juges français.