Clauses Contractuelles Modèles pour l’Approvisionnement en IA dans l’UE : Points Clés pour les Entreprises d’IA
La Commission Européenne (CE) a publié une version mise à jour des Clauses Contractuelles Modèles pour l’Approvisionnement en IA (MCC-AI), fournissant des orientations supplémentaires aux acheteurs du secteur public naviguant dans l’approvisionnement en IA en vertu de la Loi sur l’Intelligence Artificielle de l’UE (EU AI Act). Cependant, ces clauses servent également d’outil pratique pour aider toute organisation privée à respecter ses obligations légales lors de la fourniture ou de l’approvisionnement de systèmes d’IA, en particulier des solutions d’IA à haut risque.
Contexte
La première version des MCC-AI a été publiée en septembre 2023 en prévision de la Loi sur l’IA de l’UE, offrant une approche structurée à l’approvisionnement en IA. Avec l’entrée en vigueur de la Loi sur l’IA de l’UE le 13 juin 2024, la CE a affiné ces clauses modèles pour garantir un meilleur alignement avec les exigences réglementaires. La nouvelle publication comprend :
- Une version complète pour les systèmes d’IA à haut risque.
- Une version légère pour les systèmes d’IA non à haut risque.
- Un commentaire expliquant comment adapter et mettre en œuvre les clauses.
Pourquoi les entreprises devraient-elles se familiariser avec les MCC-AI ?
Les MCC-AI fournissent un cadre précieux pour les entreprises qui achètent ou fournissent des services d’IA en établissant un standard commun et minimal d’obligations. Ces clauses aident à garantir que les deux parties s’alignent sur des aspects clés de conformité – tels que la transparence, la gestion des risques et la responsabilité – conformément à la Loi sur l’IA de l’UE.
Les organisations qui incorporent des clauses MCC-AI adaptées à leurs besoins, contrats et activités peuvent rationaliser les négociations, réduire les incertitudes juridiques et démontrer leur préparation réglementaire.
Qui a émis les MCC-AI ?
Les MCC-AI ont été émises par la Plateforme Communauté des Acheteurs Publics, conçue pour favoriser la collaboration dans l’approvisionnement public à travers l’UE. Elle sert d’espace dédié où les acheteurs publics européens et la CE peuvent se connecter, partager des idées et stimuler l’innovation dans les achats publics. Les clauses doivent être considérées comme un document de travail en cours et ne reflètent pas une position officielle de la CE.
Qui devrait utiliser les MCC-AI ?
Les MCC-AI sont destinées aux organisations du secteur public qui achètent des solutions d’IA, mais elles peuvent être adaptées de manière sélective par des entités privées sur une base clause par clause.
- La version complète s’applique aux systèmes d’IA à haut risque tels que définis dans le Chapitre III de la Loi sur l’IA de l’UE – des systèmes d’IA qui présentent des risques significatifs pour la santé, la sécurité ou les droits fondamentaux.
- La version légère est adaptée aux systèmes d’IA non à haut risque, mais aborde tout de même des considérations clés en matière d’approvisionnement, telles que la transparence, la gestion des risques et la gouvernance des données.
Même dans les cas où le système d’IA ne présente pas de risques clairs, le commentaire des MCC-AI suggère que les autorités contractantes incluent des garanties contractuelles entourant :
- Les cadres de gestion des risques
- La gouvernance des données et les droits d’utilisation
- La documentation technique et les mécanismes d’audit
- Les registres d’IA pour la responsabilité
Comment les MCC-AI doivent-elles être exécutées ?
Les clauses sont conçues pour être annexées à des contrats d’approvisionnement plutôt que de fonctionner comme des accords autonomes. Les MCC-AI n’incluent que des dispositions spécifiques aux systèmes d’IA et aux questions couvertes par la Loi sur l’IA de l’UE. Elles ne traitent pas des obligations ou des exigences découlant d’autres législations applicables. Par exemple, elles ne couvrent pas la propriété intellectuelle, l’acceptation, le paiement, les délais de livraison, le droit applicable ou la responsabilité.
Que couvrent les MCC-AI ?
Les MCC-AI sont structurées autour d’obligations juridiques et opérationnelles clés, notamment :
- Exigences des systèmes d’IA : Garantir le respect des normes légales et éthiques fondamentales.
- Obligations du fournisseur : Définir les attentes en matière de transparence, de gestion des risques et de conformité.
- Gouvernance des données : Établir des droits sur les ensembles de données utilisés dans le développement de l’IA.
- Audit et responsabilité : Mettre en place des mécanismes de surveillance des systèmes d’IA.
- Coûts et responsabilités : Clarifier les responsabilités financières pour la mise en œuvre et la conformité.
De plus, les annexes fournissent des modèles pour décrire les cas d’utilisation des systèmes d’IA, définir des cadres de gouvernance des données et documenter les mesures de conformité.
Quelles sont les différences entre les clauses contractuelles types de la Commission Européenne et les MCC-AI ?
Les clauses contractuelles standard de l’UE (SCC) sont des modèles de contrats juridiquement contraignants émis par la CE pour garantir que les données personnelles transférées en dehors de l’Espace Économique Européen (EEE) respectent le Règlement Général sur la Protection des Données (RGPD). Elles imposent des obligations spécifiques en matière de protection des données aux parties impliquées.
Le tableau ci-dessous résume les principales différences entre les clauses contractuelles modèles (MCC) et les SCC pour les transferts de données. Bien qu’elles servent des objectifs différents, elles peuvent être incluses dans le même accord :
| Critères | Clauses Contractuelles Modèles (MCC) | Clauses Contractuelles Standards (SCC) |
|---|---|---|
| Objectif | Fournir un cadre contractuel pour des réglementations spécifiques à l’industrie, telles que la gouvernance de l’IA | Assurer la conformité au RGPD pour les transferts de données internationales |
| Base légale | Basée sur les meilleures pratiques de l’industrie ou des orientations réglementaires (ex. : Loi sur l’IA de l’UE) | Requise en vertu de l’article 46 du RGPD pour les transferts de données en dehors de l’EEE |
| Utilisation obligatoire | Optionnelle, utilisée comme guide ou en annexe d’un contrat existant | Obligatoire pour les transferts de données vers des pays tiers sans décision d’adéquation |
| Champ d’application réglementaire | Couvre les obligations liées à l’approvisionnement de services d’IA | Se concentre exclusivement sur la protection des données personnelles et la conformité au RGPD |
| Applicabilité | Peut être utilisée dans divers secteurs (ex. : contrats d’IA, accords logiciels, fourniture de solutions alimentées par l’IA) | S’applique uniquement aux transferts de données personnelles transfrontaliers en dehors de l’EEE |
| Force exécutoire | Seulement contraignante si incluse dans un contrat entre parties | Juridiquement contraignante en vertu du RGPD lorsqu’elle est utilisée pour des transferts de données |
| Dispositions clés | Couvre l’éthique de l’IA, la responsabilité, la transparence et la conformité | Couvre la sécurité des données, les obligations des tiers, les droits d’audit et les droits des personnes concernées |
| Flexibilité | Peut être personnalisée ou complétée par d’autres termes contractuels | Doit être utilisée telle quelle, avec des modifications limitées autorisées |
| Annexées aux contrats ? | Oui, généralement annexées à des accords plus larges | Oui, attachées à des contrats régissant les transferts de données |
Points Clés
Pour les organisations fournissant des systèmes d’IA, adapter les MCC-AI à leur activité renforce leur crédibilité et leur confiance auprès des clients en montrant un engagement envers des pratiques responsables en matière d’IA.
Pour les acheteurs, ces clauses offrent un niveau de protection de base, garantissant que les solutions d’IA achetées respectent des normes éthiques et légales essentielles. De plus, puisque les MCC-AI peuvent être annexées à des accords existants, elles offrent flexibilité tout en maintenant la cohérence entre les contrats. Cela facilite non seulement des transactions plus fluides, mais minimise également les litiges, alors que les deux parties opèrent sous une compréhension partagée des obligations liées à l’IA dès le départ.
