Achats IT : zoom sur les nouveaux enjeux juridiques
Publié par Audrey Fréel le | Mis à jour le
En constante évolution, l'environnement réglementaire des projets IT se complexifie. Intelligence artificielle, IoT, sécurité, données, numérique responsable... Décryptage des enjeux juridiques liés à différents achats IT.
D'un point de vue conformité, les achats IT sont de plus en plus ardus. Face à ce constat, le CNA a organisé un webinaire le 27 octobre 2022, en partenariat avec le cabinet ITLAW Avocats. Objectif : présenter les bons réflexes à adopter lors de la rédaction et la négociation des contrats IT. Cet atelier s'est focalisé sur les enjeux juridiques liés à cinq usages : l'intelligence artificielle, l'IOT, la sécurité, les données et le numérique responsable.
L'IA, une approche fondée sur le risque
Le webinaire a d'abord abordé les aspects liés à l'utilisation de l'IA, un domaine qui a connu de très nombreuses évolutions juridiques au cours des dernières années. "Un projet de règlement présentant une approche fondée sur les risques liés à l'usage de l'IA est actuellement en cours d'adoption à la Commission européenne", informe Marine Hardy, avocate directrice des pôles Innovation & Sécurité chez ITLAW Avocats. Dans ce cadre, les usages d'IA sont classifiés en fonction de ce qui est interdit, ce qui présente un risque élevé (dans ce cas, il y aura une obligation de mise en conformité), un risque limité (ce qui nécessitera des exigences de transparence) et un risque minime (aucun cadre réglementaire). Une fois en vigueur, ce règlement pourrait entraîner une mise en conformité pour les projets impliquant de l'IA. "Il faut donc l'anticiper car cela peut potentiellement impliquer une facturation supplémentaire de la part du prestataire, qui pourrait chercher à faire peser les coûts liés au changement de réglementation sur le client", avertit Marine Hardy.
Bien déterminer le type de licence pour l'IoT
Imprimantes, tablettes, smartphones, capteurs, système de surveillance... Les entreprises regorgent d'objets connectés en tout genre. "Ces objets sont gérés par un réseau informatique. Il est essentiel de savoir si cet ensemble (objet et réseau) est fourni par le prestataire et quels services sont gérés par ce dernier", explique Marine Hardy. L'avocate insiste notamment sur l'importance de regarder le type de licence proposé pour ce genre d'outil connecté. "Il convient de déterminer s'il est possible de connecter le nombre d'outils que l'on souhaite, comment sont calculées les métriques (à la requête de l'objet, au nombre d'objets...) ou encore qui gère en cas de problème sur l'objet, comme un piratage", énumère Marine Hardy.
Sécurité : anticiper les coûts additionnels
Dans les achats IT, la sécurité est devenu un enjeu financier puisqu'un certain nombre de prestataires facturent leurs offres de sécurité. Le marché de la sécurité recense également de nombreuses certifications et certains prestataires se font auditer chaque année par des tiers. "Il ne faut pas hésiter à spécifier dans le contrat que le prestataire garantit, durant la durée du contrat, qu'il va garder sa certification, qu'il se fera auditer annuellement et que tout cela sera sans coût pour le donneur d'ordre", recommande Marine Hardy. Les clauses d'audit sont également de plus en plus fréquentes dans la sécurité. En ce sens, le client peut mandater un tiers pour auditer la solution sur un certain point. "Il est important d'anticiper ce coût au moment de la négociation en début du projet. De même, il est nécessaire de prévoir, en amont, le coût financier lié à l'accompagnement du prestataire en cas de difficulté sur la solution", souligne l'avocate.
Une bonne gestion des données
Aujourd'hui, le nombre de données manipulées par les écosystèmes IT est énorme, aussi bien en termes de nature que de volume. Un achat IT implique donc d'avoir les capacités pour stocker un grand volume de données. "Pour cela, il est intéressant d'anticiper et de négocier des grilles tarifaires en fonction des volumes de données à gérer lors de l'acte d'achat, ce qui évite des mauvaises surprises", explique Marine Hardy. Les acheteurs doivent également être vigilants sur l'utilisation des données en interne mais également par le prestataire.
Le numérique responsable gagne du terrain
Aujourd'hui, la plupart des obligations en matière de numérique responsable pèsent sur les prestataires qui doivent fournir des éléments de transparence. "La prise en compte du numérique responsable se développe au niveau des entreprises tant en termes d'images qu'en termes d'optimisation de la consommation énergétique des systèmes. C'est de plus en plus demandé aux prestataires car cela est directement lié au prix de l'énergie", constate Marine Hardy. Elle conseille de l'anticiper dans le projet d'achat IT et de vérifier les engagements du prestataire en matière de numérique responsable, notamment concernant les consommations énergétiques.