L'essentiel en 30 secondes
- Le Règlement (UE) 2024/1689 (AI Act) impose des obligations en cascade entre fournisseurs et déployeurs de systèmes d'IA.
- Une PME qui achète un système d'IA reste exposée aux sanctions si son contrat ne formalise pas les obligations du fournisseur.
- Quatre clauses sont indispensables : conformité, documentation, responsabilité, mise à jour.
- Les sanctions peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial annuel (Art. 99 du Règlement (UE) 2024/1689).
- Les modèles ci-dessous sont des références éditoriales — leur adaptation par un conseil juridique reste nécessaire.
1. Pourquoi les clauses contractuelles AI Act sont cruciales pour les PME
L'AI Act ne s'applique pas uniquement aux fournisseurs. L'Article 26 du Règlement (UE) 2024/1689 impose aux déployeurs — c'est-à-dire les entreprises qui utilisent un système d'IA dans le cadre de leur activité professionnelle — des obligations spécifiques. Une PME française qui intègre un outil de scoring RH, un chatbot client ou un module de détection d'anomalies devient déployeur au sens du règlement.
Le contrat avec le fournisseur d'IA constitue la première ligne de défense juridique. Sans clauses explicites, la PME se retrouve à supporter des obligations qu'elle ne peut pas remplir seule. Elle ne dispose pas de la documentation technique, ne maîtrise pas le modèle, et ne peut pas démontrer la conformité du système au régulateur.
Les enjeux contractuels couvrent trois dimensions concrètes :
| Risque | Impact pour la PME | Clause contractuelle de mitigation |
|---|---|---|
| Sanction administrative AI Act | Jusqu'à 7 % du CA mondial (Art. 99) | Clause de conformité + garantie |
| Sanction RGPD croisée | Jusqu'à 4 % du CA mondial | Clause de transparence et DPA |
| Dommage réputationnel | Perte de clients, médias | Clause de responsabilité étendue |
| Coût de remédiation | Audit, retrait, refonte | Clause de remboursement |
Pour aller plus loin sur l'application du règlement aux PME, consultez notre dossier complet AI Act PME France.
2. Obligations légales des fournisseurs d'IA
Les obligations des fournisseurs varient selon la classification du système. L'AI Act distingue quatre catégories de risque : inacceptable (interdit, Art. 5), élevé (Annexe III, Art. 6), limité (transparence, Art. 50) et minimal.
Pour les systèmes à haut risque, les Articles 9 à 15 du Règlement (UE) 2024/1689 imposent au fournisseur :
- La mise en place d'un système de gestion des risques (Art. 9).
- Une gouvernance des données d'entraînement (Art. 10).
- La rédaction d'une documentation technique conforme à l'Annexe IV (Art. 11).
- La journalisation automatique des événements (Art. 12).
- La transparence et fourniture d'instructions d'utilisation (Art. 13).
- La supervision humaine (Art. 14).
- La robustesse, l'exactitude et la cybersécurité (Art. 15).
Pour les modèles d'IA à usage général (GPAI), l'Article 53 ajoute des obligations spécifiques de documentation et de respect du droit d'auteur. Les modèles présentant un risque systémique sont régis par l'Article 55.
| Catégorie de système | Référence AI Act | Obligation principale du fournisseur | Clause contractuelle recommandée |
|---|---|---|---|
| Haut risque | Art. 9-15 | Documentation Annexe IV | Conformité + documentation |
| Usage général (GPAI) | Art. 53 | Synthèse données entraînement | Transparence des données |
| Risque limité | Art. 50 | Information de l'utilisateur | Marquage et identification |
| Risque systémique | Art. 55 | Évaluation et notification incidents | Notification + audit |
Sans contrat explicite, le déployeur n'a aucune visibilité opposable sur l'exécution de ces obligations.
3. Clé 1 : Clause de conformité AI Act
La clause de conformité est la pierre angulaire du contrat. Elle engage le fournisseur à respecter l'AI Act et à le démontrer.
Elle doit contenir trois éléments minimaux :
- L'identification de la catégorie de risque du système (Art. 6 ou Annexe III).
- L'engagement formel de conformité aux Articles 9 à 15 (pour les systèmes à haut risque).
- L'obligation de remettre la déclaration de conformité UE (Art. 47) et le marquage CE (Art. 48).
Modèle de clause de conformité
Article X — Conformité au Règlement (UE) 2024/1689
Le Fournisseur déclare et garantit que le Système d'IA fourni au titre du présent contrat est conforme au Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle.
Le Fournisseur identifie le Système comme relevant de la catégorie suivante : [□ haut risque – Annexe III / □ usage général / □ risque limité / □ risque minimal].
Pour les systèmes à haut risque, le Fournisseur s'engage à respecter les exigences des Articles 9 à 15 et à remettre au Déployeur, au plus tard à la date de livraison :
- La déclaration de conformité UE (Art. 47) ;
- La preuve du marquage CE (Art. 48) ;
- La référence à l'enregistrement dans la base de données européenne (Art. 71).
Toute modification substantielle du Système entraînant une nouvelle évaluation de conformité fera l'objet d'une notification écrite au Déployeur dans un délai de quinze (15) jours.
Pack contractuel AI Act prêt à l'emploi
regulia met à disposition un pack documentaire complet pour PME : modèles de clauses, registre des systèmes d'IA, AIPD adaptée, et procédure de mise à jour. Évaluez votre besoin en moins de 3 minutes.
Recevoir le pack adapté à mon secteur4. Clé 2 : Clause de documentation et de transparence
L'Article 13 du Règlement (UE) 2024/1689 impose au fournisseur de remettre une notice d'utilisation détaillée. L'Article 11 et l'Annexe IV précisent le contenu de la documentation technique.
Le déployeur en a besoin pour deux raisons. D'abord, l'Article 26 lui impose d'utiliser le système conformément à la notice. Ensuite, en cas de contrôle, il doit pouvoir présenter ces documents aux autorités nationales compétentes (en France : la DGCCRF, l'ACPR, l'Arcom selon le secteur).
Contenu minimal à exiger
| Document | Référence AI Act | Format attendu | Délai de remise |
|---|---|---|---|
| Documentation technique | Art. 11 + Annexe IV | PDF structuré | À la livraison |
| Notice d'utilisation | Art. 13 | Français | À la livraison |
| Journal des événements | Art. 12 | API ou export | Continu |
| Description des données d'entraînement | Art. 10 | Synthèse écrite | À la livraison |
| Évaluation de conformité | Art. 43 | Certificat ou attestation | À la livraison |
Modèle de clause de documentation
Article X — Documentation et transparence
Le Fournisseur remet au Déployeur, en langue française, l'ensemble des documents requis par les Articles 11, 12 et 13 du Règlement (UE) 2024/1689, à savoir :
- La documentation technique conforme à l'Annexe IV ;
- La notice d'utilisation décrivant les caractéristiques, capacités, limites de performance et mesures de supervision humaine ;
- L'accès aux journaux générés automatiquement (Art. 12), pour une durée minimale de six (6) mois ;
- Une synthèse des jeux de données d'entraînement, de validation et de test (Art. 10).
Le Fournisseur informe le Déployeur de toute évolution susceptible d'affecter la conformité dans un délai de trente (30) jours suivant la modification. Les documents sont mis à jour sans surcoût pendant toute la durée du contrat.
5. Clé 3 : Clause de responsabilité et de garantie
C'est la clause la plus négociée. Sans elle, le déployeur supporte seul les conséquences financières d'une non-conformité dont il n'est pas la cause technique.
L'AI Act n'établit pas directement un régime de responsabilité civile — celui-ci relève du droit national et de la future directive sur la responsabilité IA en cours de discussion [à vérifier]. Le contrat doit donc combler ce vide.
Trois mécanismes contractuels protègent le déployeur :
- Garantie de conformité : le fournisseur garantit que le système respecte l'AI Act pendant toute la durée du contrat.
- Indemnisation : il s'engage à prendre en charge les sanctions administratives infligées au déployeur si elles résultent d'une non-conformité de sa part.
- Plafond et exclusions : le contrat précise les limites (généralement le montant facturé, parfois un multiple).
| Type de dommage | Origine | Qui supporte le coût sans clause ? | Qui supporte avec clause de responsabilité ? |
|---|---|---|---|
| Amende AI Act Art. 99 | Défaut documentation fournisseur | Déployeur | Fournisseur (indemnisation) |
| Amende AI Act Art. 99 | Mauvais usage par le déployeur | Déployeur | Déployeur |
| Réclamation client | Décision biaisée du système | Déployeur | Partagé selon faute |
| Audit de remédiation | Système non conforme à l'origine | Déployeur | Fournisseur |
Modèle de clause de responsabilité
Article X — Garantie et responsabilité
Le Fournisseur garantit la conformité du Système au Règlement (UE) 2024/1689 pendant toute la durée du contrat. À ce titre, il prend en charge :
- Les coûts de mise en conformité du Système en cas de défaut imputable à sa conception, son entraînement ou son déploiement ;
- Le remboursement intégral des redevances perçues si le Système est déclaré non conforme par une autorité compétente et ne peut être remis en conformité dans un délai de quatre-vingt-dix (90) jours ;
- L'indemnisation du Déployeur à hauteur des sanctions administratives infligées sur le fondement des Articles 99 et 100 du Règlement, dans la limite de [montant ou multiple à négocier], lorsque ces sanctions résultent directement d'un manquement du Fournisseur.
Cette garantie ne couvre pas les manquements du Déployeur à ses obligations propres (Art. 26).
6. Clé 4 : Clause de mise à jour et de maintenance
Un système d'IA évolue. Le modèle est ré-entraîné, les données changent, les vulnérabilités apparaissent. L'Article 72 du Règlement (UE) 2024/1689 impose une surveillance après commercialisation. L'Article 73 oblige le fournisseur à notifier les incidents graves dans un délai de quinze jours [à vérifier sur la version consolidée].
La clause de mise à jour fixe les engagements opérationnels du fournisseur.
Points à formaliser
- Fréquence minimale des mises à jour de sécurité.
- Délai de notification en cas de modification substantielle (Art. 43, § 4).
- Procédure d'information du déployeur lors de la découverte d'un biais ou d'une faille.
- Maintien de la compatibilité avec la documentation remise.
Modèle de clause de mise à jour
Article X — Mise à jour, maintenance et surveillance
Le Fournisseur assure le maintien en conformité du Système pendant toute la durée du contrat. Il s'engage à :
- Déployer les correctifs de sécurité et de robustesse dans un délai raisonnable et au plus tard trente (30) jours après identification d'une vulnérabilité ;
- Notifier au Déployeur, par écrit, toute modification substantielle du Système au sens de l'Article 43, § 4, au moins trente (30) jours avant sa mise en production ;
- Communiquer sans délai tout incident grave au sens de l'Article 3, point 49, et en tout état de cause dans le délai prévu par l'Article 73 ;
- Mettre à jour la documentation technique et la notice d'utilisation à chaque évolution significative.
Vérifiez vos contrats existants en 15 minutes
regulia propose un diagnostic contractuel AI Act : nos modèles confrontés aux clauses de votre fournisseur actuel, écarts identifiés, plan de renégociation. Pour PME de 10 à 250 salariés.
Demander un diagnostic contractuel7. Modèles de clauses contractuelles — synthèse
Le tableau suivant récapitule les quatre modèles de clauses présentés ci-dessus et leur priorité selon la catégorie de risque du système acquis.
| Clause | Système haut risque | Système GPAI | Système risque limité |
|---|---|---|---|
| Conformité (Art. 9-15) | Indispensable | Recommandé | Optionnel |
| Documentation (Art. 11-13) | Indispensable | Indispensable | Recommandé |
| Responsabilité et garantie | Indispensable | Indispensable | Recommandé |
| Mise à jour et maintenance | Indispensable | Indispensable | Recommandé |
Adaptation sectorielle
Les modèles doivent être ajustés selon le secteur. Quelques pistes :
- Santé : ajouter la conformité au Règlement (UE) 2017/745 sur les dispositifs médicaux, et l'avis de l'ANSM si le système est intégré à un DM.
- Banque et assurance : intégrer les exigences de l'ACPR sur la gouvernance des modèles, et l'Article 22 du RGPD pour la décision automatisée.
- RH : renforcer la clause sur la non-discrimination (Annexe III, point 4) et la transparence vis-à-vis des candidats.
- Service public : exiger l'enregistrement dans la base européenne (Art. 71) et la conformité à la circulaire DGFiP applicable [à vérifier].
Le glossaire regulia précise chacune des notions juridiques mobilisées par ces clauses.
8. Conseils pour négocier avec les fournisseurs
La négociation contractuelle AI Act suit une logique en quatre étapes.
Étape 1 — Préparer avant la signature
Identifiez la catégorie de risque du système avant de demander un devis. Cela conditionne la lourdeur des clauses à imposer. Référez-vous à l'Annexe III du Règlement (UE) 2024/1689 pour les systèmes à haut risque.
Étape 2 — Demander des références et preuves
Exigez du fournisseur :
- La déclaration de conformité UE (Art. 47) si elle existe déjà ;
- Une certification ISO/IEC 42001:2023 ou un audit équivalent ;
- Des références clients ayant déjà déployé le système dans un cadre AI Act.
Étape 3 — Inclure des mécanismes de contrôle
Le contrat doit prévoir :
- Un droit d'audit annuel, exercé directement ou par un tiers ;
- L'accès aux journaux (Art. 12) sur demande motivée ;
- Une clause de réversibilité pour récupérer les données et la documentation en fin de contrat.
Étape 4 — Faire valider par un conseil juridique
Les modèles présentés ici sont des bases éditoriales. Avant signature, faites valider la rédaction par votre DPO et, pour les systèmes à haut risque, par un avocat spécialisé en droit du numérique.
Pour mesurer concrètement le coût d'un non-respect, consultez notre article dédié aux sanctions AI Act et amendes pour PME.
FAQ — Clauses contractuelles AI Act
Quelles sont les sanctions en cas de non-respect des clauses AI Act par mon fournisseur ?
Les sanctions administratives prévues à l'Article 99 du Règlement (UE) 2024/1689 peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les manquements les plus graves (pratiques interdites de l'Art. 5). Pour les autres infractions, les plafonds sont de 15 M€ ou 3 %, et 7,5 M€ ou 1 % pour la fourniture d'informations inexactes. Le déployeur peut être tenu pour responsable même si la cause technique est imputable au fournisseur. Une clause de responsabilité bien rédigée permet de transférer la charge financière.
Dois-je adapter les clauses selon mon secteur d'activité ?
Oui. Les obligations sectorielles s'additionnent à celles de l'AI Act. Une PME santé doit articuler ses clauses avec le Règlement (UE) 2017/745 et les exigences de l'ANSM. Une PME finance doit tenir compte des recommandations de l'ACPR sur la gouvernance des modèles. Une PME RH doit renforcer les engagements de non-discrimination liés à l'Annexe III, point 4. Le service desk européen (ai-act-service-desk.ec.europa.eu) publie des FAQ par secteur.
Quelle documentation doit fournir un fournisseur d'IA conforme ?
Pour un système à haut risque, le fournisseur doit remettre : la documentation technique conforme à l'Annexe IV du Règlement (UE) 2024/1689, la notice d'utilisation prévue à l'Article 13, l'accès aux journaux générés automatiquement (Art. 12), et la déclaration de conformité UE (Art. 47). Pour un modèle GPAI, l'Article 53 impose en plus une synthèse suffisamment détaillée des contenus utilisés à l'entraînement. Tous ces documents doivent être disponibles dans une langue compréhensible par les autorités françaises — en pratique, le français.
Puis-je utiliser des modèles de clauses génériques ?
Les modèles génériques servent de point de départ, pas de solution finale. Chaque contrat doit refléter la catégorie de risque du système, le secteur du déployeur, et la chaîne de valeur impliquée (fournisseur, distributeur, importateur au sens de l'Art. 3). Une PME qui copie une clause sans l'adapter prend un double risque : inadéquation juridique, et perte de protection face au régulateur.
Quelles ressources pour trouver des modèles de clauses ?
Plusieurs sources fiables existent. Le service desk européen (ai-act-service-desk.ec.europa.eu) publie des questions-réponses officielles. La CNIL propose 13 fiches pratiques sur l'IA et le RGPD. Le portail artificialintelligenceact.eu fournit la version consolidée du règlement. Le Cigref et Numeum ont publié des guides en 2025 [à vérifier sur leurs portails respectifs]. Pour les sanctions, consultez notre analyse dédiée.
Sources officielles
- Service desk européen AI Act — Commission européenne, FAQ officielle.
- Règlement (UE) 2024/1689 sur EUR-Lex — version officielle de l'AI Act.
- CNIL — Loi sur l'intelligence artificielle — fiches pratiques RGPD et IA.
- artificialintelligenceact.eu — version consolidée et navigable du règlement.
- ISO/IEC 42001:2023 — système de management de l'intelligence artificielle.
- ISO/IEC 23894:2023 — gestion des risques liés à l'IA.
- Voir aussi notre page Sources et le dossier AI Act PME France.
Disclaimer juridique
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.