- les accords peuvent être présentés comme un accord standard, de type « à prendre ou à laisser »;
- ils ressemblent à des accords classiques de logiciel-service (parfois sans aucune référence à l’IA);
- leurs dispositions peuvent paraître simples, à première vue;
- les droits de licence qui y sont associés sont souvent inférieurs au seuil de signification d’une organisation.
Comme nous l’expliquons dans ce billet, une organisation qui n’adapte pas ses contrôles et ses systèmes d’approvisionnement pour repérer et traiter les enjeux d’IA émergents et qui, par conséquent, néglige d’examiner minutieusement les accords qui lui sont proposés, s’expose à des risques importants.
Droits et confidentialité liés aux données
De nombreux accords octroient aux fournisseurs des licences de ratissage des contenus utilisateurs (bruts et traités) sans véritable restriction d’utilisation, de reproduction et d’exploitation de ces contenus. Ces droits s’étendent souvent à la collecte et au traitement de renseignements confidentiels, personnels ou sensibles saisis dans l’application, ce qui permet aux fournisseurs d’exploiter ces données à des fins qui comprennent l’entraînement et le perfectionnement de leurs modèles d’IA, le développement d’œuvres dérivées ou la création de lacs de données leur permettant d’effectuer des analyses comparatives d’une industrie donnée.
Lorsque les données d’une organisation sont incorporées dans l’entraînement d’un modèle d’IA, les conséquences peuvent être sérieuses : le modèle qui en résulte pourrait ensuite être déployé au profit d’autres clients, y compris des concurrents directs, érodant ainsi l’avantage concurrentiel d’une organisation et renforçant involontairement celui de ses concurrents.
En outre, ces accords autorisent souvent les fournisseurs à agréger et à anonymiser les données d’une organisation pour pratiquement n’importe quel objectif, y compris l’exploitation commerciale et des analyses comparatives d’une industrie donnée. Dans de nombreux cas, les fournisseurs se réservent le droit de conserver des copies de ces données indéfiniment, même après la fin de l’accord.
Enfin, il n’est pas rare que ces accords ne précisent pas la manière dont les données d’une organisation seront protégées, ni dans quels ressorts elles seront traitées, consultées ou stockées.
L’ensemble de ces dispositions fait en sorte que tout renseignement soumis par une application peut être réutilisé dans le but de poursuivre l’entraînement des modèles ou même refaire surface dans des données fournies à d’autres utilisateurs.
En l’absence de garanties contractuelles claires et strictes, les organisations risquent de renoncer à des privilèges, de compromettre et de perdre le contrôle de leurs données confidentielles, personnelles ou sensibles. Ces risques mettent en lumière l’importance cruciale de négocier des protections adaptées en ce qui concerne l’utilisation, le stockage, la conservation, la sécurité et la confidentialité des données dans les accords avec les fournisseurs de technologies fondées sur l’IA.
Propriété intellectuelle – droit de propriété et violation
Les contenus générés par l’IA posent de nouveaux défis en matière de droits de propriété intellectuelle (PI) et de violation de ces droits. Dans la plupart des accords sur l’utilisation de l’IA qui sont proposés aux organisations, il est généralement prévu que le fournisseur conservera la propriété exclusive des modèles sous-jacents, des algorithmes et des ensembles de données d’entraînement qui alimentent l’application.Les organisations, quant à elles, restent généralement propriétaires des résultats générés par l’outil. Cependant, les droits de propriété et d’utilisation sont variables : dans certains cas, l’accord prévoit des restrictions sur l’utilisation commerciale ou la redistribution des résultats obtenus par l’organisation. De plus, comme indiqué ci-dessus, les contrats proposés par les fournisseurs accordent souvent à ces derniers des licences d’utilisation de ces résultats.
Puisque de nombreux outils fondés sur l’IA sont conçus à partir d’une série de données d’entrée, d’outils et d’ensembles de données de tiers, il n’est pas rare de constater qu’un fournisseur ne connaît pas avec exactitude la provenance de son produit ni des résultats produits par ce dernier.
Par exemple, de nombreux systèmes d’IA sont entraînés à partir de vastes ensembles de données hétérogènes qui peuvent comprendre des œuvres protégées, y compris du matériel protégé par droit d’auteur, des codes protégés ou d’autres contenus de PI sensibles. De tels ensembles de données peuvent être soumis aux lois en vigueur dans de nombreux ressorts. Si l’application du fournisseur produit des résultats qui ressemblent à ces œuvres protégées ou les reproduisent, les organisations peuvent involontairement commettre une infraction et s’exposer ainsi à des poursuites en dommages-intérêts, à des injonctions ou à une atteinte à leur réputation.
Par conséquent, pour limiter leur propre exposition, les fournisseurs incluent souvent des clauses de non-responsabilité d’une large portée concernant ces résultats, ce qui a pour effet de transférer le risque à l’utilisateur. Entre autres, ces clauses de non-responsabilité indiquent souvent que le fournisseur n’assume aucune responsabilité quant aux résultats susceptibles d’enfreindre les droits de tiers.
Il est également important de noter la possibilité qu’aucun enjeu lié aux droits de PI ne soit soulevé dans un contexte où il est question de contenu généré par l’IA, et que les lois régissant ce domaine sont complexes et en pleine évolution, en plus de varier grandement d’un ressort à l’autre.
Déclarations et garanties, clause de non-responsabilité, limitations de responsabilité et indemnités
Les accords conclus avec les fournisseurs ne comportent souvent que des garanties minimales quant aux performances ou à la fiabilité d’une application. Dans la plupart des cas, les fournisseurs rejettent expressément la responsabilité de toute déclaration ou garantie quant à l’exactitude, à l’exhaustivité ou à l’adéquation des résultats produits par l’application, en précisant qu’ils fournissent le service strictement « tel quel ». Les organisations n’ont alors aucune garantie que l’application fonctionnera correctement, qu’elle sera disponible ou qu’elle répondra vraiment à leurs besoins.
Outre l’absence de déclarations ou de garanties convenables, ces accords comportent généralement des limitations de responsabilité de portée générale, selon lesquelles les fournisseurs cherchent à se défaire de pratiquement toute responsabilité en ce qui concerne l’utilisation de la technologie, notamment quant à : (i) l’application elle-même; (ii) l’utilisation de celle-ci; (iii) une suspension, une interruption ou un retard dans l’application; (iv) toute perte des données de l’organisation; (v) toute atteinte à la sécurité des données ou du système. Dans les cas où cette responsabilité est acceptée par le fournisseur, elle est généralement limitée à un montant nominal, rarement supérieur à la valeur du contrat, ce qui reporte tout de même la plus grande part du risque sur l’organisation.
Élément qui accentue encore davantage ce déséquilibre : les organisations elles-mêmes n’ont souvent aucune limite de responsabilité et sont fréquemment tenues d’indemniser le fournisseur de toute réclamation, perte ou dépense résultant de leur utilisation de l’application ou de la technologie, y compris des réclamations liées à l’utilisation, à la distribution ou à la publication des résultats produits par cette dernière.
Cette répartition unilatérale des risques implique que même lorsque le préjudice provient de la technologie du fournisseur (par exemple, un contenu illicite généré par l’IA), l’organisation doit assumer seule l’intégralité du fardeau de la défense et de la responsabilité, avec très peu de recours.
En somme, les répercussions de ce qui précède vont au-delà de la violation du droit de PI. Si une application contribue à une atteinte à la sécurité des données ou au respect de la réglementation, ou si elle génère des résultats faussés ou discriminatoires, les fournisseurs déclinent généralement toute responsabilité, laissant à l’organisation le soin de composer avec les conséquences juridiques et réputationnelles.
C’est donc dire que la combinaison de garanties minimes, d’exclusions de responsabilité hermétiques et d’obligations d’indemnisation unilatérales oblige les organisations à assumer la très grande majorité des risques.
Risque relatif à la réglementation : le problème de la conformité
Les accords conclus avec les fournisseurs n’offrent généralement que des garanties minimales en ce qui concerne le respect des lois applicables, transférant souvent l’ensemble du fardeau de la réglementation au client. Cette approche est de plus en plus problématique, compte tenu du rythme accéléré auquel la réglementation sur l’IA évolue et de la surveillance accrue des organismes de réglementation à l’échelle internationale. Pour les organisations, ce fardeau peut se révéler onéreux, en particulier si elles n’ont pas la possibilité de vérifier les modèles sous-jacents, les données d’entraînement de l’IA ou les pratiques de gouvernance du fournisseur.
Le défi est d’autant plus important que la réglementation mondiale en matière d’IA est fragmentée et en constante évolution. Les exigences légales peuvent varier d’un ressort à l’autre. Par exemple, le règlement sur l’intelligence artificielle de l’Union européenne établit des obligations rigoureuses pour les [traduction] « systèmes d’IA à haut risque », notamment en ce qui a notamment trait à la transparence, à la gestion des risques et à l’évaluation de la conformité, alors que la législation canadienne n’en est qu’à ses débuts et n’a pas encore intégré de concepts comparables. Les organisations multinationales doivent donc s’y retrouver dans une panoplie de réglementations complexes et adapter leurs stratégies de conformité à de multiples régimes législatifs, chacun ayant son propre ensemble de définitions, de normes et de mécanismes d’application.
Qui plus est, de nombreux accords ne prévoient aucune obligation de respecter les principes fondamentaux d’une IA responsable, comme la transparence et l’explicabilité. En pareil cas, les fournisseurs ne sont pas tenus de fournir des rapports d’audit, de la documentation sur la logique du modèle ou même des renseignements sur les ensembles de données utilisés pour l’entraînement des modèles. Cette opacité peut empêcher les organisations de prouver leur conformité ou de répondre efficacement aux demandes de production de renseignements conformément à la loi applicable, ce qui les expose à d’importants risques de poursuites et d’atteinte à la réputation.
Autres considérations
En plus de ce qui précède, il y a diverses dispositions qui peuvent favoriser la protection et la flexibilité des fournisseurs. Par exemple, un problème observé couramment est l’absence de droit de résiliation pour raisons de commodité, ce qui peut contraindre une organisation à honorer des engagements pluriannuels sans possibilité de s’en sortir pour des raisons stratégiques ou opérationnelles. En outre, de nombreux accords ne prévoient aucune aide concernant la transition en cas de résiliation, ni aucune obligation pour le fournisseur de restituer ou d’éliminer en toute sécurité les données de l'organisation. Cela crée un important risque à long terme en matière de portabilité et de conformité des données.
Les structures de tarification proposées peuvent également présenter des risques cachés : en effet, les accords peuvent ne pas prévoir de mécanismes permettant d’augmenter ou de diminuer le nombre d’utilisateurs, ce qui oblige l’organisation à payer des frais fixes même si l’utilisation diminue. Qui plus est, cela empêche l’organisation d’obtenir des précisions sur les coûts liés à l’ajout de nouveaux utilisateurs, ce qui pourrait entraîner une augmentation disproportionnée des frais.
Une autre disposition fréquemment utilisée par les fournisseurs est celle qui leur donne le droit unilatéral de modifier l’accord, souvent avec un préavis minimal et sans droit de résiliation correspondant pour l’organisation. Ce type de clause oblige les organisations à accepter des changements susceptibles d’altérer substantiellement leurs obligations ou leur profil de risque.
Conclusion
À la lumière de ces observations, on peut donc dire que les organisations ont avantage à revoir leurs processus de contrôles et leurs systèmes d’approvisionnement, à ne plus se contenter d’accepter passivement des conditions proposées par un fournisseur et à adopter une approche proactive, axée sur les risques. Notamment, elles peuvent négocier des dispositions contractuelles qui répartissent équitablement les risques opérationnels et ceux liés à la PI, mettre en œuvre des protocoles de vérification interne des résultats générés par l’IA et prévoir un fonds d’indemnité ou une couverture d’assurance pour atténuer d’éventuelles réclamations de tiers. Sans ces protections, le recours à des accords standards peut exposer une organisation à d’importantes vulnérabilités juridiques, opérationnelles et de conformité.
De même, il est primordial qu’une organisation examine de près les cadres de responsabilité et les structures de gouvernance (y compris les rapports à la direction). Au besoin, les organisations devraient insister sur la détermination de limites de responsabilité équitables, d’indemnités réciproques et d’obligations explicites en matière de sécurité des données, de respect des lois et d’application de principes éthiques par rapport à l’IA, comme la transparence et l’atténuation de la partialité. Elles se doivent d’exiger et d’examiner les mécanismes de rapports à la direction nécessaires à une gouvernance efficace de l’outil fondé sur l’IA et de son fournisseur. En l’absence de ces protections, les organisations risquent non seulement d’être financièrement exposées, mais également de faire face à une atteinte à leur réputation et à des revers stratégiques douloureux.
Si vous avez des questions sur un accord lié à l’utilisation de l’IA que vous envisagez de conclure ou que vous avez déjà conclu, nous vous invitons à contacter l’un des auteurs de ce billet.
