Legal Direct

Contrats IA-SaaS : comment régler les questions de propriété, de données et de responsabilité ?

2025/09/22
Partagez ce blog:

L'IA est partout. Pensez aux logiciels capables de déduire des paramètres de santé en quelques secondes à partir d'une simple mesure faciale. Ou aux plateformes qui génèrent automatiquement du contenu marketing. D'autres applications aident les utilisateurs à trier intelligemment leur boîte mail ou utilisent des algorithmes pour optimiser des problèmes de planification complexes (petit 'hello' aux entreprises qui se reconnaissent ici, oui, je parle de vous !). 

De plus en plus souvent, ce type de technologie est proposé sous la forme de contrats 'Software as a Service' (SaaS). Cela le rend évolutif et accessible, mais soulève également d'importantes questions juridiques : qui est propriétaire du modèle, des données et des résultats ? Que se passe-t-il si l'IA commet une erreur ? Et pouvez-vous utiliser les données de vos clients pour rendre le modèle plus intelligent ?

Dans cet article, je vais essayer de passer en revue les principaux points juridiques à prendre en compte dans les contrats SaaS liés à l'IA, afin que vous sachiez immédiatement, en tant qu'entrepreneur, à quoi vous devez faire attention.

 

Le SaaS en bref

Un contrat SaaS consiste à définir les conditions dans lesquelles les clients et leurs utilisateurs ont accès au logiciel proposé. Le contrat régit l'utilisation autorisée (sous la forme d'une licence), définit les niveaux de service convenus (tels que la disponibilité du logiciel), les accords tarifaires (par exemple, frais mensuels ou contrats annuels, avec ou sans renouvellement automatique) et d'autres dispositions pratiques.
Jusqu'ici, rien de nouveau. Mais l'IA ajoute une couche de complexité supplémentaire.

 

Propriété intellectuelle : logiciel vs. résultat

En matière d'IA, il existe en réalité deux types de propriété intellectuelle (PI) : d'une part, le modèle et le logiciel (c'est-à-dire le code, les algorithmes et l'architecture du logiciel) et, d'autre part, le résultat de l'outil d'IA lui-même (tel que les textes, les modèles ou tout autre élément généré par l'outil d'IA).
En général, les règles de propriété pour la première catégorie sont claires : la propriété reste acquise au fournisseur, sauf transfert explicite. Dans un contexte SaaS, le transfert est exceptionnel, car le modèle commercial repose précisément sur la conservation du logiciel et l'octroi de droits d'utilisation à plusieurs clients.

En ce qui concerne le résultat, le client souhaitera généralement être propriétaire du résultat obtenu grâce à l'outil d'IA, afin de pouvoir l'utiliser librement, tandis que le fournisseur souhaite protéger son modèle et empêcher les clients de revendiquer des droits sur l'algorithme lui-même. Il est donc souvent stipulé dans le contrat que le fournisseur conserve tous les droits sur le modèle IA et que le résultat généré devient la propriété du client.

La situation se complique toutefois lorsque le logiciel reste nécessaire pour continuer à utiliser le résultat. C'est là que cela devient vraiment intéressant. En effet, dans de nombreuses applications d'IA, le résultat n'est pas statique, mais dynamique. Sa valeur dépend de l'accès continu au logiciel, comme dans le cas d'un modèle prédictif qui fournit quotidiennement de nouvelles informations ou d'un algorithme de planification qui recalcule en permanence les données.
Si le client n'y a plus accès après la résiliation, il perd la possibilité de continuer à utiliser ou à mettre à jour ces résultats. Il y a donc bien « propriété juridique » des résultats, mais pas d'utilité pratique.

Sur le plan contractuel, l'une des options suivantes est généralement choisie :

  • licence permanente sur les résultats : stipulez que le client peut continuer à utiliser les résultats générés pendant la durée du contrat, même après la résiliation.
  • obligation d'exportation : prévoyez d'exporter les résultats et les données pertinentes dans un format ouvert. Il peut s'agir d'une seule exportation à un moment précis ou d'une exportation périodique.
  • transfert du modèle : pour certains clients, vous pouvez convenir qu'ils recevront, moyennant rémunération, une copie du modèle délivré afin de l'héberger eux-mêmes.

 

Données et formation : qui a le droit de faire quoi ?

L'IA fonctionne grâce aux données, et c'est souvent là que la discussion se fait dans les contrats.
En principe, les données des clients restent la propriété du client. Cela doit être explicitement mentionné dans le contrat, y compris la garantie que le client peut exporter ses données à la fin du contrat.
Pour le fournisseur, il peut toutefois être utile d'utiliser les données des clients pour rendre le modèle d'IA plus intelligent. Cela peut être précieux, mais c'est souvent un sujet sensible. C'est pourquoi il faut toujours convenir clairement si les données des clients seront utilisées à des fins de dévelopment ou non.
Certains fournisseurs travaillent avec un opt-in (le client donne son consentement explicite), d'autres (en particulier les grands acteurs) travaillent avec un opt-out (parfois bien caché) : les données sont donc utilisées, sauf si le client désactive activement leur utilisation.
À cela s'ajoute la législation sur la protection de la vie privée. Dès lors que les données clients contiennent des données à caractère personnel, un accord de traitement des données (DPA) est en principe nécessaire. Tous les fournisseurs ne le prévoient pas de manière standard, mais l'idéal est de conclure les accords appropriés à ce sujet. Dans un contexte B2B (par exemple via une API ou un abonnement pour entreprise), vous pouvez régler cela dans un document séparé. Pour les applications B2C, cela se fait généralement par le biais des conditions générales et des paramètres de confidentialité.

 

Responsabilité : que se passe-t-il lorsque l'IA commet des erreurs ?

Un outil d'IA peut accomplir des choses fantastiques, mais aussi se tromper complètement. Tout comme mes propres expériences avec du contenu généré par l'IA donnent parfois des résultats inattendus (je ne sais donc pas encore utiliser les logiciels de création d'images, restons-en là), les systèmes d'IA peuvent causer des dommages considérables dans des applications critiques. Pensez aux résultats biaisés dans les processus de recrutement, aux hallucinations de l'IA juridique qui renvoient à une jurisprudence inexistante ou aux incohérences dans les logiciels de diagnostic médical.

L'UE a donc opéré un changement de cap fondamental : les logiciels et les systèmes d'IA sont désormais soumis aux mêmes règles de responsabilité du fait des produits que les produits traditionnels.
La question qui nous est souvent posée est la suivante : qui est responsable lorsqu'un client subit un préjudice en raison d'une sortie IA erronée ?
Alors qu'auparavant, les fournisseurs (de logiciels) pouvaient principalement invoquer des limitations de responsabilité contractuelles et des clauses de non-responsabilité, la responsabilité du fait des produits, beaucoup plus stricte, s'applique désormais. Cela signifie que les fournisseurs peuvent être tenus responsables des dommages causés par des défauts dans leurs systèmes d'IA, même sans faute avérée.

La nouvelle directive européenne 2024/2853 précise explicitement que les lacunes en matière de cybersécurité, le comportement imprévisible des algorithmes d'apprentissage automatique et la gestion insuffisante des risques peuvent également être considérés comme des défauts de produit. Pour les fournisseurs d'outils d'IA, cela entraîne un risque de responsabilité considérablement accru qui ne peut plus être entièrement traité sur le plan contractuel.
En tant que fournisseur d'IA, la gestion des risques commence naturellement par le développement technique, avec la mise en œuvre de procédures de test, la détection des biais et la documentation transparente des données d'entraînement utilisées (et bien sûr obtenues légalement 😉). En outre, il existe une obligation d'information sur les limitations connues, les risques et les bonnes pratiques d'utilisation.

Enfin, les mesures contractuelles restent bien sûr essentielles pour atténuer les risques. Les fournisseurs peuvent toujours inclure des limitations de responsabilité pour les dommages indirects, les dommages consécutifs et les dommages supérieurs à certains montants, à condition qu'ils soient raisonnables et proportionnés. Il est essentiel de disposer d'accords de niveau de service clairs, de descriptions explicites de l'utilisation par l'utilisateur à l'intérieur et à l'extérieur des paramètres prévus et d'une répartition claire des responsabilités entre le fournisseur et le client.

La directive est entrée en vigueur le 8 décembre 2024, et les pays de l'UE ont jusqu'au 9 décembre 2026 pour la transposer dans leur législation nationale.

 

Conclusion

En résumé, les contrats AI-SaaS ressemblent aux contrats SaaS classiques, mais posent des défis juridiques supplémentaires. Il ne s'agit pas seulement de disponibilité, d'assistance et de prix, mais surtout de propriété des données et des résultats, ainsi que de responsabilité. Les fournisseurs qui définissent clairement ces aspects se protègent et gagnent la confiance de leurs clients et investisseurs. 

Pour les fournisseurs d'application IA, il est temps d'agir. Commencez par un audit approfondi des produits existants et identifiez les risques potentiels en matière de responsabilité. Réexaminez les conditions contractuelles et prévoyez des processus de documentation clairs. 

Il va sans dire que nous serons ravis de vous aider dans cette démarche 😉.

Leïla Drake                  

LegalDirect

Martelarenlaan 32
3010 Louvain
Belgique

Rue des Ateliers 19
1080 Bruxelles
Belgique

info@legaldirect.be

Suivez-nous sur

Webdesign by vector bross
  • © Copyright 2024 by LegalDirect. All Rights reserved