1. pourquoi ce guide
La majorité des projets IA intègrent des fournisseurs externes (modèles pré-entraînés, API, plateformes, services d’annotation). Le RGPD impose de maîtriser les responsabilités, les traitements de données personnelles et les flux transfrontaliers. Ce guide vous aide à négocier et sécuriser vos contrats IA.
2. cartographier les fournisseurs IA
- Fournisseur de modèle pré-entraîné (open source ou commercial)
- Prestataire d’annotation ou nettoyage de données
- Hébergeur ou plateforme d’entraînement
- API IA en mode SaaS (chat, classification, extraction, génération)
3. clauses RGPD essentielles
- Objet et finalités clairement définis (entraînement, exécution, amélioration continue…)
- Nature des données traitées et catégories de personnes concernées
- Durée de conservation et réversibilité
- Lieu du traitement (UE / hors UE)
- Interdiction de réutilisation des données pour entraînement sans accord explicite
- Sous-traitants ultérieurs listés et auditables
- Sécurité (mesures techniques et organisationnelles)
- Notification des incidents et fuites de données
4. clause d’audit et transparence
Prévoir une possibilité d’audit (papier ou sur site) des traitements et modèles si des données personnelles sont impliquées. Ajouter une obligation d’information sur :
- la provenance des données d’entraînement
- les processus de pseudonymisation ou anonymisation
- les mécanismes d’opposition ou d’effacement
5. exemples de clauses clés
"Les Données transmises ne pourront être utilisées à des fins d’entraînement ou d’amélioration des modèles que sous réserve d’un accord spécifique et écrit."
"Le Prestataire s’engage à maintenir un registre des traitements incluant toutes les opérations IA menées pour le compte du Client."
"Tout transfert de données hors de l’Espace économique européen sera soumis à la signature de clauses contractuelles types."
6. outils de due diligence
- Questionnaire fournisseur IA (RGPD + AI Act)
- Liste de contrôles à vérifier avant intégration (dataset, contrat, politique de droits)
- Audit des journaux, versionnage, protection anti-fuite
7. erreurs à éviter
- Utiliser une API IA sans analyse de rôle (sous-traitant / responsable distinct)
- Signer un contrat sans restriction sur la réutilisation des données client
- Ne pas demander de transparence sur les données d’entraînement utilisées
- Négliger les transferts de données hors UE dans l’analyse de risque
8. ce que Rouge Hexagone peut faire pour vous
- Rédiger ou auditer vos contrats IA (API, modèles, labelling, SaaS)
- Fournir des modèles de clauses et guides de négociation RGPD
- Accompagner vos achats dans la sélection et l’audit de fournisseurs IA
