Comment encadrer contractuellement l'utilisation d'un outil d'IA fourni par un prestataire externe ?
Réponse courte
L'encadrement contractuel d'un outil d'IA fourni par un prestataire externe exige un contrat intégrant des clauses spécifiques liées au obligations RGPD, à l'AI Act et au droit luxembourgeois. L'employeur doit s'assurer que le prestataire garantit la transparence algorithmique, la protection des données personnelles et la conformité aux obligations applicables aux systèmes à haut risque.
Le contrat doit prévoir des clauses de responsabilité partagée, de propriété intellectuelle sur les données d'entraînement, d'auditabilité du système et de réversibilité des données en fin de contrat. Une analyse d'impact relative à la protection des données (AIPD) doit être réalisée avant le déploiement lorsque le traitement présente un risque élevé pour les droits et libertés des personnes concernées.
Définition
L'encadrement contractuel d'un outil d'IA désigne l'ensemble des dispositions juridiques régissant la relation entre l'entreprise utilisatrice (déployeur) et le fournisseur de la solution d'intelligence artificielle. Ce cadre contractuel vise à répartir les obligations réglementaires issues du RGPD et de l'AI Act entre les parties.
Au Luxembourg, la CNPD veille au respect des obligations de protection des données, tandis que l'AI Act impose des exigences spécifiques selon la classification du système. Le contrat constitue l'instrument principal de répartition des responsabilités entre le fournisseur (obligations de conformité technique) et le déployeur (obligations d'utilisation conforme).
Questions fréquentes
Conditions d’exercice
L'encadrement contractuel repose sur des exigences cumulatives issues du RGPD, de l'AI Act et du droit luxembourgeois des contrats.
| Critère | Détail |
|---|---|
| RGPD - Article 28 | Contrat de sous-traitance obligatoire définissant la nature et la finalité du traitement, les types de données, les catégories de personnes concernées et les obligations du sous-traitant |
| AI Act - Article 25 | Obligations des fournisseurs de systèmes à haut risque : documentation technique, système de gestion des risques, traçabilité des décisions |
| AI Act - Article 26 | Obligations du déployeur : utilisation conforme, supervision humaine, signalement des incidents, conservation des logs |
| Propriété des données | Clause de propriété et de restitution des données traitées, y compris les données d'entraînement et les modèles dérivés |
| Auditabilité | Droit contractuel d'audit par l'entreprise ou un tiers indépendant sur les algorithmes, les données et les processus décisionnels |
| Réversibilité | Garantie de récupération intégrale des données en fin de contrat dans un format exploitable et suppression sécurisée chez le prestataire |
| Localisation des données | Clause de localisation du traitement et du stockage dans l'UE/EEE conformément au RGPD |
Modalités pratiques
La mise en place contractuelle suit un processus structuré associant les services juridiques, informatiques et RH.
| Étape | Détail |
|---|---|
| Due diligence précontractuelle | Vérifier la conformité AI Act et RGPD du prestataire, demander la documentation technique et les certifications éventuelles |
| Rédaction du contrat | Intégrer les clauses obligatoires (sous-traitance RGPD, conformité AI Act, responsabilité, auditabilité, réversibilité, localisation des données) |
| AIPD | Réaliser une analyse d'impact avant déploiement si le système traite des données sensibles ou produit des effets significatifs sur les personnes |
| Information de la délégation | Consulter la délégation du personnel avant déploiement conformément à l'article L.414-4 du Code du travail |
| Formation des utilisateurs | Prévoir contractuellement la formation des équipes à l'utilisation conforme de l'outil |
| Clause de sortie | Définir les conditions de résiliation, le calendrier de migration et les pénalités éventuelles |
Pratiques et recommandations
Exiger du prestataire une documentation technique complète incluant les spécifications algorithmiques, les données d'entraînement utilisées et les résultats des tests de biais, afin de garantir la transparence requise par l'AI Act.
Négocier des clauses de mise à jour réglementaire imposant au prestataire d'adapter son système aux évolutions législatives sans surcoût, particulièrement dans le contexte de l'entrée en vigueur progressive de l'AI Act.
Prévoir des mécanismes contractuels de notification en cas d'incident de sécurité ou de dysfonctionnement algorithmique, avec des délais de réponse précis et des obligations de remédiation documentées.
Associer les services juridiques et informatiques dès la phase de sélection du prestataire pour évaluer conjointement la conformité technique et juridique de la solution proposée.
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD - Article 28 | Obligations du sous-traitant et contenu obligatoire du contrat de sous-traitance |
| RGPD - Article 35 | Obligation de réaliser une analyse d'impact relative à la protection des données (AIPD) |
| RGPD - Articles 44-49 | Encadrement des transferts de données vers des pays tiers |
| AI Act - Article 25 | Obligations des fournisseurs de systèmes d'IA à haut risque |
| AI Act - Article 26 | Obligations des déployeurs de systèmes d'IA à haut risque |
| Art. L.414-4 | Consultation obligatoire de la délégation du personnel sur l'introduction de nouvelles technologies |
| Loi du 1er août 2018 | Loi luxembourgeoise portant organisation de la CNPD et mise en œuvre du RGPD |
Note
L'encadrement contractuel d'un outil d'IA constitue un levier essentiel de gestion des risques pour l'employeur luxembourgeois. La répartition claire des responsabilités entre fournisseur et déployeur permet de limiter l'exposition juridique en cas de dysfonctionnement ou de non-conformité réglementaire.
L'entrée en vigueur progressive de l'AI Act renforce l'importance d'une veille contractuelle active, les obligations pour les systèmes à haut risque s'appliquant pleinement à partir du 2 août 2026.