Achats de systèmes d'IA, quels enjeux réglementaires et responsabilités pour les achats ?

L'achat de systèmes IA ou des services intégrant des outils d'IA va rapidement devenir un enjeu stratégique pour les entreprises. Or, les systèmes IA sont soumis à un cadre juridique particulier à l'instar des données personnelles avec le RGPD. Un règlement du 13 juin 2024 a établi des règles harmonisées au niveau européen concernant l'intelligence artificielle. Aucun achat d'IA ne peut se faire sans avoir été qualifié préalablement au regard des limites et des critères fixés par ce règlement. Comprendre les différents types de systèmes d'IA et les impacts de ce règlement constitue donc un nouvel enjeu pour les acheteurs. Retour sur les enjeux clés de la réglementation et des responsabilités qui en découlent.

Une réglementation structurée autour de l'évaluation des risques

Adopté le 1er août 2024, le règlement européen sur l'IA repose sur une évaluation rigoureuse des risques. Les systèmes d'IA sont classés en quatre catégories :

Risques inacceptables : Ces systèmes, comme ceux qui exploitent des vulnérabilités (liées à l'âge, au handicap ou à la situation socio-économique) ou qui manipulent de manière cognitive, sont strictement interdits.

« Tout ce qui permet d'utiliser des techniques subliminales, manipulatrices ou trompeuses pour influencer les décisions des individus est prohibé, » explique un avocat spécialisé dans le domaine.

Risques élevés : Ces systèmes n'ont pas un caractère prohibitif mais sont encadrés par des obligations spécifiques. Ils concernent des domaines sensibles tels que la santé, la justice ou encore les ressources humaines.

Risques limités : Pour ces systèmes, des exigences de transparence s'appliquent. Par exemple, les utilisateurs finaux doivent être informés qu'ils interagissent avec une IA.

Risques minimes : Ces systèmes, tels que les outils antispam ou les IA intégrées aux jeux vidéo, ne sont pas soumis à des exigences spécifiques.

Les obligations des professionnels des achats

Les entreprises qui achètent des systèmes d'IA, que ce soit directement ou via des solutions intégrées, endossent le rôle de « déployeurs » selon la terminologie du règlement. Ce statut implique une responsabilité accrue et plusieurs obligations clés.

Comprendre ce que l'on achète...

Un des premiers défis pour les acheteurs est d'identifier si le système acquis est un système d'IA à usage général, ou si une composante d'IA est intégrée dans une technologie plus complexe. « Vous devez avoir un niveau de maîtrise suffisant pour comprendre ce que vous achetez, à quoi cela sert, et quels risques cela présente, » souligne l'avocat. Cela nécessite une formation interne pour les équipes, incluant l'IT, le digital et, bien sûr, les services d'achats.

... Et en assurer la conformité

Les systèmes d'IA à haut risque doivent être documentés par les fournisseurs. Ces derniers sont tenus de fournir des preuves de l'évaluation de leurs systèmes avant leur mise sur le marché, incluant un marquage CE et une notice d'utilisation claire. Pour les acheteurs, cela implique de vérifier que ces documents existent et sont conformes. En l'absence de ces éléments, l'utilisation du système pourrait exposer l'entreprise à des sanctions, pouvant atteindre jusqu'à 6 % du chiffre d'affaires mondial de l'organisation concernée.

Maîtriser les notions de transparence et de responsabilisation

La transparence est au coeur de la réglementation. Les utilisateurs finaux doivent être informés lorsque l'IA est impliquée dans une interaction ou dans un rapport. En tant que déployeurs, les acheteurs doivent s'assurer que leurs fournisseurs respectent ces exigences, mais également que leur personnel comprend les possibilités et les risques associés aux systèmes d'IA déployés.

Des impacts à prévoir sur les contrats

La mise en conformité avec ce règlement transformera les pratiques contractuelles. Les clauses relatives à la responsabilité, à la transparence et à la sous-traitance devront être adaptées. Par ailleurs, l'identification des obligations des fournisseurs et des utilisateurs sera cruciale pour garantir la conformité.

Une mise en oeuvre évidemment progressive

La pleine application du règlement sur l'IA est prévue pour le 2 août 2026, bien que certaines dispositions, notamment concernant les systèmes interdits, s'appliqueront dès 2025. Cela laisse aux entreprises un délai pour adapter leurs pratiques et monter en compétence. « Comme avec le RGPD, les premiers à se conformer seront vus comme des acteurs de confiance, ce qui représentera un avantage concurrentiel, » conclut l'avocat.

Pour aller plus loin :

Franklin Brousse un avocat spécialisé dans le droit des achats et des nouvelles technologies depuis plus de 25 ans. Il accompagne notamment les directions achats dans la négociation des contrats, la gestion des litiges fournisseurs et la formation des acheteurs.