Conditions générales d’un service d’IA : 5 clauses essentielles avec exemples

Les conditions générales d’utilisation (CGU) ou conditions générales de vente (CGV) d’un service d’intelligence artificielle ne sont pas de simples formalités juridiques. Elles constituent la pierre angulaire de la relation entre l’éditeur et ses utilisateurs et leur rédaction engage la responsabilité de l’entreprise sur des terrains aussi variés que le droit de la consommation, la propriété intellectuelle, le RGPD et, désormais, le Règlement européen sur l’IA (RIA / AI Act, Règlement (UE) 2024/1689).

Voici les 5 clauses que tout éditeur de service d’IA doit rédiger avec le plus grand soin.

1. La description du service et la délimitation des cas d’usage

C’est la clause fondatrice de l’ensemble du document contractuel : elle détermine ce que le service fait, comment il le fait, et surtout ce pour quoi il n’a pas été conçu. Or, dans le domaine de l’IA, cette délimitation est loin d’être anodine.

Le RIA impose en effet, à son article 13, que les fournisseurs de systèmes d’IA à haut risque fournissent aux déployeurs une notice d’utilisation précisant les finalités prévues, les performances attendues et les limites connues du système. Même lorsque votre service ne relève pas de la catégorie « haut risque », il est fortement recommandé de transposer cette logique dans vos CGU et CGV : une description imprécise du service expose l’éditeur à des réclamations fondées sur un usage que l’IA n’était pas censée couvrir.

L’article L. 111-1 du code de la consommation impose par ailleurs de fournir au consommateur une information claire sur les caractéristiques essentielles du service numérique avant la conclusion du contrat. Une clause vague du type « l’IA répond à toutes vos questions » ne satisfait ni cette exigence ni les standards du RIA.

Il convient également d’anticiper les usages sensibles expressément exclus (par ex., décisions automatisées sans supervision humaine dans des domaines critiques, génération de contenus pouvant affecter des droits fondamentaux, etc.) afin de délimiter précisément le périmètre de responsabilité de l’éditeur.

Exemple de clause : « Le service d’IA mis à disposition par [Société] est un outil d’assistance à la [rédaction / analyse / génération d’images : à préciser], fonctionnant sur la base de modèles de langage / de génération. Il est conçu pour un usage strictement professionnel / personnel dans le cadre des finalités décrites à l’article [à compléter]. Le service n’est pas destiné à fournir des conseils médicaux, juridiques, financiers ou tout autre avis professionnel. Les résultats produits par l’IA sont susceptibles de contenir des inexactitudes et requièrent une vérification humaine préalable à toute utilisation. »

Point de vigilance pour l’éditeur : une description des cas d’usage trop large peut être retournée contre vous si un utilisateur invoque une utilisation imprévue que vos CGU ou CGV n’excluaient pas explicitement.

2. La clause d’usages acceptables de l’IA et les interdictions

Intimement liée à la précédente, cette clause en est le prolongement opérationnel. Elle ne se contente pas de dire ce que le service peut faire : elle fixe les règles du jeu sur ce que l’utilisateur est autorisé à en faire, et les sanctions applicables en cas de violation.

L’article 52 du RIA impose aux fournisseurs de certains systèmes d’IA d’informer les personnes lorsqu’elles interagissent avec une IA et de prévoir des mécanismes permettant d’éviter les détournements.  

La clause peut notamment interdire : la génération de contenus illicites (propos haineux, désinformation, atteinte à l’image de tiers), le contournement des dispositifs de sécurité techniques, l’utilisation de l’IA à des fins de manipulation ou d’harcèlement, et toute tentative de rétro-ingénierie du modèle. Elle doit également préciser les conséquences attachées à la violation de ces règles (par ex., suspension du compte, résiliation de l’abonnement, action en responsabilité) et conférer à l’éditeur le pouvoir d’agir unilatéralement et sans préavis en cas de manquement grave.

Exemple de clause : « Il est strictement interdit d’utiliser le service afin de générer, diffuser ou faciliter la diffusion de contenus portant atteinte à la dignité humaine, incitant à la haine ou à la discrimination, violant des droits de propriété intellectuelle de tiers, ou susceptibles de constituer une infraction pénale au regard du droit français ou droit national de l’Utilisateur. Toute tentative de contournement des filtres de sécurité, d’exploitation de failles techniques ou d’utilisation automatisée non autorisée du service est également prohibée. En cas de violation de ces dispositions, [Société] se réserve le droit de suspendre ou de résilier l’accès au service sans préavis, sans préjudice de toute action en dommages-intérêts. »

Point de vigilance pour l’éditeur : la clause d’usages acceptables doit évoluer au rythme de la réglementation. Prévoyez expressément votre droit de la modifier unilatéralement, tout en vous conformant aux règles applicables en cas de changement substantiel des conditions contractuelles (par exemple, avec préavis de 30 jours pour les abonnés).

3. La répartition des responsabilités entre l’éditeur et l’utilisateur

C’est souvent la clause la plus stratégique pour l’éditeur et l’une des plus complexes à rédiger. Son objectif est double :

• d’un côté, décharger l’éditeur de la responsabilité du contenu généré par l’IA à la demande de l’utilisateur ;
• de l’autre, organiser clairement les obligations respectives des deux parties pour éviter toute zone grise en cas de litige.

La logique du RIA repose précisément sur cette répartition entre fournisseur et déployeur. L’article 13 du RIA charge le fournisseur de livrer une notice d’utilisation complète ; l’article 27 lui impose une évaluation d’impact sur les droits fondamentaux pour certains systèmes. 

Dans les CGU ou les CGV, cela se traduit par une double architecture :

• d’une part, les engagements de l’éditeur quant aux performances et à la conformité du système ;
• d’autre part, les engagements de l’utilisateur quant à l’usage qu’il en fait et à la vérification des résultats produits.

La clause doit également préciser que l’IA est un outil d’assistance et non un expert, et que les résultats générés ne constituent pas des conseils professionnels opposables.

Lorsque vous contractez avec des consommateurs, les clauses de limitation de responsabilité ne peuvent pas exclure la garantie légale de conformité des services numériques prévue aux articles L. 224-25-12 et suivants du code de la consommation.

Exemple de clause : « [Société] met à la disposition de l’Utilisateur un outil d’assistance automatisé dont les résultats sont générés en réponse aux données d’entrée communiquées par l’Utilisateur. L’Utilisateur reconnaît être seul responsable des données qu’il soumet au service, du contenu qu’il génère via celui-ci, et de l’usage qu’il en fait, y compris à des fins professionnelles ou commerciales. [Société] ne peut être tenu responsable d’inexactitudes, d’erreurs ou d’omissions dans le contenu généré, ni des conséquences de décisions prises sur le fondement de ce contenu sans vérification préalable par un professionnel qualifié. »

Point de vigilance pour l’éditeur : une clause de non-responsabilité trop large peut être qualifiée d’abusive en droit de la consommation si elle crée un déséquilibre significatif au détriment du consommateur. Distinguez soigneusement les clauses applicables aux professionnels qui ne bénéficient pas de la protection du code de la consommation (B2B) de celles applicables aux consommateurs (B2C) et ne confondez pas les deux régimes dans un document unique.

4. La propriété intellectuelle du contenu généré par l’IA

C’est la clause la plus délicate à rédiger, car elle porte sur un terrain où le droit positif ne donne pas encore de réponse certaine. Le droit d’auteur français protège les œuvres de l’esprit qui résultent d’un effort créatif humain. Or, lorsqu’un contenu est généré de façon entièrement automatisée par une IA, la question de sa titularité reste ouverte.

L’article 53-1 du RIA, applicable aux modèles d’IA à usage général, impose au fournisseur de publier un résumé suffisamment détaillé des données d’entraînement utilisées et de respecter les droits des titulaires au titre de la directive (UE) 2019/790 sur le droit d’auteur dans le marché unique numérique (DAMUN), notamment le mécanisme d’opt-out prévu à son article 4.

Sur la propriété du contenu généré, trois options s’offrent à l’éditeur, chacune avec ses inconvénients propres :

• attribuer les droits à l’utilisateur expose l’éditeur à des difficultés si deux utilisateurs génèrent des contenus similaires ;
• se les réserver expose l’éditeur à une responsabilité accrue pour ce contenu ;
• ne rien dire laisse la question ouverte au risque d’une insécurité juridique.

La doctrine recommande de s’en tenir à la première option tout en encadrant strictement les modalités d’exploitation commerciale ou d’opter pour le silence contractuel sur la titularité ce qui est d’ailleurs la pratique de nombreux éditeurs.

En revanche, la clause peut préserver le droit de l’éditeur d’utiliser les données d’entrée et le contenu généré pour améliorer et entraîner son modèle, sous réserve du respect du RGPD.

Exemple de clause : « Sous réserve des conditions légales d’éligibilité à la protection au titre du droit d’auteur, les droits susceptibles d’être reconnus sur les contenus générés par l’IA à la demande de l’Utilisateur reviennent à ce dernier, à la condition qu’il ait conservé les éléments permettant de démontrer sa contribution créative personnelle, notamment les prompts utilisés. L’Utilisateur accorde à [Société] une licence non exclusive, mondiale et gratuite d’utilisation de ses données d’entrée et des contenus générés aux fins d’amélioration, d’entraînement et de développement du service, dans le respect de la législation applicable en matière de protection des données personnelles. »

Point de vigilance pour l’éditeur : si vous optez pour une clause attribuant les droits à l’utilisateur, assurez-vous de la cohérence avec votre clause d’autorisation/d’interdiction d’exploitation commerciale : il serait contradictoire d’accorder la titularité des droits tout en interdisant leur exploitation à des fins commerciales.

5. La clause relative aux données personnelles et à la transparence algorithmique

C’est la clause qui engage le plus lourdement l’éditeur d’un point de vue réglementaire, car elle se situe à l’intersection de deux corpus normatifs exigeants : le RGPD et le RIA.

Le RGPD impose, à ses articles 12 à 14, de fournir aux utilisateurs une information claire, précise et accessible sur les traitements de données personnelles effectués, notamment l’identité du responsable de traitement, les finalités et bases légales des traitements, les durées de conservation, les destinataires des données et les droits des personnes. La CNIL, dans ses recommandations 2024-2025 sur l’IA, précise que ces informations doivent être présentées de manière distincte des autres conditions contractuelles, et non noyées dans une clause fourre-tout.

De son côté, l’article 27 du RIA prévoit que l’évaluation d’impact sur les droits fondamentaux (obligatoire pour certains systèmes d’IA à haut risque) vient compléter, sans se substituer à, l’analyse d’impact sur la vie privée prévue à l’article 35 du RGPD. Les CGU ou CGV doivent par conséquent articuler ces deux niveaux d’obligations et renvoyer à une politique de confidentialité distincte, contractuellement intégrée par référence.

Sur la transparence algorithmique, l’article 50 du RIA impose d’informer les personnes lorsqu’elles interagissent avec un système d’IA, notamment dans les contextes susceptibles de créer une confusion avec une interaction humaine.

Exemple de clause : « L’utilisation du service est susceptible d’impliquer la collecte et le traitement de données à caractère personnel, dont les modalités détaillées sont décrites dans la Politique de confidentialité de [Société], accessible à l’adresse [URL], et qui fait partie intégrante des présentes CGU/CGV. L’Utilisateur est informé qu’il interagit avec un système d’intelligence artificielle et non avec un interlocuteur humain. Conformément au RGPD et à la loi n° 78-17 du 6 janvier 1978, l’Utilisateur dispose d’un droit d’accès, de rectification, d’effacement et de portabilité de ses données, ainsi que d’un droit d’opposition aux traitements fondés sur l’intérêt légitime, exercéables à l’adresse suivante : [adresse de contact DPO]. »

Point de vigilance pour l’éditeur : ne renvoyez pas à une politique de confidentialité sans l’intégrer contractuellement dans le parcours de l’utilisateur. En cas de litige, un simple lien hypertexte dans le pied de page du site ne suffit pas à démontrer que l’utilisateur en a pris connaissance. Prévoyez une case à cocher distincte lors de l’inscription, spécifiquement dédiée à l’acceptation de la politique de confidentialité et des CGV ou CGU.

Les exemples ci-dessus sont proposés dans un but purement pédagogique et ne substituent pas un à conseil juridique. Si vous avez besoin d’assistance pour relire votre projet de CGV ou de CGU, le modifier ou le rédiger intégralement, vous pouvez m’adresser votre demande ou réserver un entretien en cliquant ici.