Analyse approfondie de la clause proposée par la GSA : Nouvelles exigences pour les entrepreneurs gouvernementaux
Le 6 mars 2026, une ébauche d’une nouvelle clause de contrat significative, GSAR 552.239-7001, intitulée « Protection de base des systèmes d’intelligence artificielle », a été publiée. Si elle est adoptée, cette clause imposera des obligations substantielles et variées aux entrepreneurs fournissant des solutions d’intelligence artificielle (IA) au gouvernement.
Résumé exécutif
La clause proposée vise à créer un ensemble uniforme de règles régissant l’acquisition et l’utilisation des systèmes d’IA dans les contrats de la GSA. Elle introduit plusieurs obligations importantes qui pourraient remodeler le marché gouvernemental de l’IA. Notamment, elle accorde au gouvernement une propriété étendue de toutes les données d’entrée, de sortie et de tout « Développement personnalisé », tout en interdisant aux entrepreneurs d’utiliser ces données pour former ou améliorer des modèles d’IA. De plus, elle exige l’utilisation de « Systèmes d’IA américains ».
La clause impose également une exigence de rapport d’incidents de 72 heures, tient les entrepreneurs principaux directement responsables de la conformité de leurs « Fournisseurs de services » d’IA, et codifie un ensemble de « Principes d’IA impartiaux ». En outre, le gouvernement conservera l’autorité d’évaluer indépendamment les systèmes d’IA et de suspendre leur utilisation en cas de non-conformité.
Champ d’application et applicabilité
La nouvelle clause sera incluse dans toutes les sollicitations et contrats « pour des capacités d’intelligence artificielle ». Le terme « capacités d’IA » n’est pas défini, ce qui laisse une certaine ambiguïté quant à la portée complète de la clause. La définition des termes critiques clarifie son étendue :
Système d’IA : Cela adopte la définition de la loi sur l’avancement de l’IA américaine, signifiant des systèmes d’IA développés et produits aux États-Unis.
Données gouvernementales : Cela englobe à la fois les « Données d’entrée » (ex. prompts utilisateurs, données sources) et les « Données de sortie » (ex. réponses du système, analyses, métadonnées et données synthétiques).
Développement personnalisé : Cela couvre toutes les modifications, améliorations ou configurations réalisées spécifiquement pour le gouvernement.
Fournisseur de services : Cela désigne toute entité fournissant, exploitant ou licenciant un système d’IA utilisé dans l’exécution du contrat.
Droits de propriété intellectuelle et droits sur les données
La clause proposée établit un régime de droits de propriété intellectuelle et de droits sur les données qui favorise largement le gouvernement. Selon ses termes, le gouvernement possédera toutes les « Données gouvernementales » et les « Développements personnalisés ». Les entrepreneurs et leurs Fournisseurs de services ne recevront qu’une licence limitée et révocable pour utiliser ces données dans le but d’exécuter le contrat.
Bien que les entrepreneurs conservent la propriété de leurs systèmes d’IA sous-jacents et de leurs modèles de base, ils doivent accorder au gouvernement une licence irrévocable, non exclusive et sans redevance pour utiliser le système pendant la durée du contrat. La clause interdit explicitement l’utilisation des Données gouvernementales pour former ou améliorer des modèles d’IA pour d’autres clients ou à des fins commerciales.
Exigences en matière de sécurité, de confidentialité et de rapport d’incidents
La clause exige un cadre de sécurité complet. Les entrepreneurs doivent mettre en œuvre et maintenir des « safeguards techniques, administratifs, physiques et organisationnels raisonnables » pour protéger les Données gouvernementales. Une exigence clé est la mise en œuvre de procédures de manipulation des données « sans yeux », limitant l’examen humain des Données gouvernementales aux cas strictement nécessaires.
Pour les incidents de sécurité, la clause impose un délai de rapport strict de 72 heures. En cas de découverte d’un incident confirmé ou suspecté, l’entrepreneur doit notifier les autorités appropriées.
Responsabilités de l’entrepreneur et transfert aux Fournisseurs de services
La clause régule non seulement les entrepreneurs principaux, mais aussi les sous-traitants, les fournisseurs de cloud et les vendeurs d’IA commerciaux. Elle rend les entrepreneurs principaux directement responsables de la conformité de leurs Fournisseurs de services avec tous ses termes.
Les entrepreneurs doivent divulguer tous les systèmes d’IA utilisés dans l’exécution du contrat et fournir une documentation exhaustive sur demande du gouvernement.
Gestion des changements, portabilité et interopérabilité
La clause vise à prévenir le verrouillage des fournisseurs et à garantir la flexibilité du gouvernement grâce à des règles strictes de gestion des changements et de portabilité des données. Les entrepreneurs doivent fournir un accès simultané aux nouvelles versions d’un modèle d’IA pour une période d’évaluation avant de cesser l’utilisation de l’ancien modèle.
Normes de performance, évaluation et recours
Les entrepreneurs doivent respecter un ensemble de « Principes d’IA impartiaux ». Le gouvernement se réserve le droit de mener ses propres évaluations des systèmes d’IA à tout moment pour tester le biais et la véracité.
Implications pratiques pour les entrepreneurs et l’industrie
Si elle est mise en œuvre telle que rédigée, la clause proposée aura des implications pratiques profondes pour l’industrie des contrats gouvernementaux. Les obligations d’utilisation de Systèmes d’IA américains et de gestion des données pourraient limiter les choix technologiques et nécessiter des changements architecturaux importants.
Actions immédiates recommandées et thèmes de commentaires pour les parties prenantes
Les parties prenantes doivent agir rapidement pour commenter cette clause. Les actions internes immédiates devraient inclure une analyse des écarts de leurs offres d’IA actuelles par rapport aux exigences de la clause.
Conclusion et prochaines étapes
La clause proposée représente un effort historique du gouvernement pour réglementer ses achats d’IA. Étant donné que la GSA a indiqué que la clause pourrait être incluse dans une mise à jour du calendrier de la GSA au printemps 2026, le délai pour fournir des commentaires est étroit.
