> Guides

SaaS IA : 8 clauses à imposer avant de signer en PME

AI Act, propriété des outputs, données d'entraînement : ce que vos CGU passent sous silence

Par La rédaction Décodeur IA · · 8 min de lecture
Contrat SaaS IA et clauses essentielles pour PME en 2026

65 % des PME françaises ont au moins un outil d'IA générative branché sur leurs données en mai 2026. Combien ont relu les CGU de cet outil ? Selon une enquête Mes Solutions Mercer relayée en avril, moins d'une sur quatre. Le problème : à partir du 2 août 2026, c'est vous — déployeur au sens de l'AI Act — qui répondez devant la CNIL et la DGCCRF si quelque chose tourne mal. Pas l'éditeur californien dont vous avez cliqué « j'accepte » il y a six mois.

Bonne nouvelle : la quasi-totalité des éditeurs IA acceptent de modifier leurs contrats en B2B, surtout face à une PME structurée. Mauvaise nouvelle : si vous ne savez pas quoi demander, ils ne le proposeront jamais. Voici les 8 clauses qu'un cabinet d'avocats spécialisé exigerait à votre place.

Pourquoi le contrat SaaS standard ne protège plus en 2026

Le 7 mai 2026, le Parlement européen et le Conseil ont validé le Digital Omnibus on AI. Le texte décale certaines échéances (systèmes haut risque autonomes au 2 décembre 2027), mais il ne touche pas à l'article 4 (alphabétisation IA) ni à l'article 26 (obligations du déployeur), qui restent applicables au 2 août 2026. Source : Latham & Watkins.

Concrètement, à partir de cette date, le moindre incident — biais discriminatoire dans un scoring candidat, fuite de prompt contenant des données client, hallucination ayant entraîné une perte financière chez un client final — déclenche une enquête. Les sanctions de l'AI Act vont jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial selon la gravité. Pour une PME de 50 salariés, c'est l'extinction.

Les contrats SaaS classiques signés avant 2025 ne couvrent ni la traçabilité des données d'entraînement, ni la propriété des outputs, ni la responsabilité en cas de biais. C'est précisément ce que les 8 clauses ci-dessous viennent rattraper.

Clause 1 et 2 : qui fait quoi face à l'AI Act

L'AI Act distingue le fournisseur (qui développe le système IA), le déployeur (qui l'utilise dans le cadre de son activité) et le distributeur. Une PME qui branche ChatGPT Business sur son CRM est déployeur. Une agence qui revend un agent IA développé en interne devient fournisseur.

Le contrat doit nommer explicitement chaque partie selon ces définitions, et préciser qui assume :

  • la documentation technique (article 11 AI Act, à la charge du fournisseur) ;
  • l'analyse d'impact sur les droits fondamentaux ou FRIA (article 27, à la charge du déployeur pour les systèmes haut risque) ;
  • l'information des utilisateurs finaux (article 13).

Sans cette ventilation, en cas de contrôle, chacun pointera l'autre. Et le juge tranche en défaveur du déployeur 8 fois sur 10, parce que c'est lui qui a contractualisé sans diligence.

Clause 3 : que devient ce que vous tapez dans le prompt

C'est la clause la plus négligée. Lisez les paramètres par défaut des principaux acteurs :

  • OpenAI : opt-out pour ChatGPT Business et Enterprise. Données utilisateurs non utilisées pour l'entraînement, conservation 30 jours sauf demande contraire.
  • Anthropic (Claude Enterprise) : pas d'usage des conversations pour le fine-tuning, jamais. Engagement contractuel.
  • Mistral Le Chat Pro : pas d'entraînement sur les prompts utilisateurs depuis octobre 2025.
  • Google Gemini Workspace : variable selon le forfait, lire l'avenant.

Faites inscrire noir sur blanc que vos prompts, fichiers téléversés et outputs ne servent à entraîner aucun modèle, partagé ou propriétaire. Et que les logs sont effaçables sur demande sous 15 jours. Sans cette clause écrite, vous n'avez aucun recours en cas de changement de politique par l'éditeur. Source : Pacaud Avocat.

Clause 4 : à qui appartient le texte / l'image / le code produit

En droit français, une œuvre purement générée par IA n'est pas protégeable par le droit d'auteur — point déjà couvert dans notre guide sur le droit d'auteur IA. Mais le contrat SaaS, lui, peut transférer les droits patrimoniaux que l'éditeur détient théoriquement par défaut. Sans cette mention, l'éditeur peut techniquement réutiliser vos outputs pour ses cas marketing, ou les vendre à un concurrent dans un dataset.

Trois mentions à exiger :

  • Cession pleine et entière des droits sur les outputs au déployeur, dans tous pays, pour toute la durée légale.
  • Garantie d'éviction : l'éditeur s'engage à indemniser si un tiers attaque les outputs au titre du droit d'auteur (ce qui arrive avec les modèles entraînés sur du contenu sous droits).
  • Pas d'utilisation des outputs pour les démonstrations commerciales de l'éditeur sans accord écrit.

Clause 5 : où sont stockées les données — et qui peut y accéder

Hébergement UE non négociable si vous traitez des données personnelles, de santé, RH ou financières. La clause doit préciser :

  • localisation des serveurs de production et des serveurs de backup (un éditeur peut être en UE pour le prod et aux US pour les sauvegardes) ;
  • liste exhaustive des sous-traitants ultérieurs (autre LLM intermédiaire, infrastructure cloud sous-jacente, prestataire support) ;
  • engagement de notification préalable avant tout changement de sous-traitant, avec droit d'objection.

Sur le Cloud Act, le sujet est dense — nous l'avons traité dans notre dossier hébergement IA souverain. Le minimum : si vos données peuvent être réquisitionnées par une autorité hors UE, la clause RGPD ne suffit pas.

Clause 6 : le SLA qui parle vraiment d'IA

Un SLA SaaS classique mesure la disponibilité (99,9 % de temps de fonctionnement). Pour un service IA, ça ne suffit pas. Demandez aussi :

  • un taux d'erreur ou d'hallucination mesurable sur un benchmark contradictoire, avec révision trimestrielle ;
  • un délai de notification en cas de changement de modèle sous-jacent — beaucoup d'éditeurs migrent silencieusement de GPT-5 à GPT-5.5 sans prévenir, ce qui peut casser vos workflows ;
  • des pénalités effectives en cas de manquement, pas juste des avoirs commerciaux symboliques de 5 %.

Clause 7 : droit d'audit, traçabilité, journalisation

L'article 26 de l'AI Act impose au déployeur de conserver les logs d'usage des systèmes haut risque. Si vous ne pouvez pas accéder à ces logs chez votre fournisseur, vous êtes en infraction. Le contrat doit prévoir :

  • accès aux logs détaillés pendant au moins 6 mois (12 mois recommandé) ;
  • droit d'audit, au moins une fois par an, sur les mesures de sécurité et la gouvernance des données ;
  • conformité aux normes ISO/IEC 27001 et ISO/IEC 42001 (cette dernière, publiée fin 2023, est devenue le standard de management des systèmes IA) ;
  • certification SOC 2 Type II en alternative ou complément.

Clause 8 : sortir du contrat sans perdre vos données

La portabilité est devenue le piège n°1 des contrats SaaS IA. Trois mois pour migrer ne suffisent jamais. Exigez :

  • export complet de vos données, prompts personnalisés, fine-tunes éventuels, dans un format ouvert (JSON, CSV) ;
  • période de réversibilité minimale de 6 mois après notification de résiliation ;
  • suppression certifiée à l'issue, avec attestation écrite ;
  • aucun surcoût pour l'export — clause anti-rétention.

C'est exactement le risque évoqué dans notre analyse sur la dépendance fournisseur. Sans clause de réversibilité, votre éditeur peut multiplier ses prix par 3 à la prochaine échéance, vous n'aurez aucun levier.

Combien coûte une revue juridique de contrat SaaS IA en France

Comptez entre 1 500 et 4 000 € HT en cabinet d'avocats spécialisé pour une revue ciblée des clauses AI Act + RGPD sur un contrat unique. Le ratio coût/risque est favorable : à 35 M€ de sanction maximale, vous ne discutez plus le devis. Pour les PME, le ministère de l'Économie a référencé en avril 2026 une liste de 12 cabinets engagés dans le programme « AI Compliance PME » avec tarifs plafonnés à 2 500 €. Source : Service Public Entreprendre.

ChatGPT Business, Claude Enterprise, Le Chat Pro : les clauses préenregistrées

Bonne nouvelle : trois éditeurs ont déjà des avenants "AI Act ready" disponibles sur demande commerciale, sans frais supplémentaires.

  • Anthropic Claude Enterprise propose un Data Processing Addendum incluant explicitement les obligations de l'article 26 et un engagement de non-entraînement sur les données clients.
  • OpenAI ChatGPT Business / Enterprise dispose d'un EU AI Act DPA depuis mars 2026. À demander explicitement, il n'est pas activé par défaut.
  • Mistral AI intègre la conformité AI Act dans ses contrats Le Chat Pro et Enterprise dès la signature initiale.

Le piège à éviter : la clause de modification unilatérale

Tous les contrats SaaS contiennent une clause permettant à l'éditeur de modifier ses CGU "à tout moment, sous réserve de notification 30 jours avant". Pour un service de stockage, ça passe. Pour un service IA, c'est catastrophique : l'éditeur peut changer son modèle, modifier sa politique de données, augmenter ses tarifs, ou ajouter une exception territoriale, et vous avez 30 jours pour réagir.

Demandez systématiquement :

  • préavis allongé à 90 jours minimum pour toute modification matérielle ;
  • droit de résiliation sans pénalité en cas de désaccord sur la modification ;
  • maintien des conditions financières en cours pendant 12 mois après notification d'augmentation tarifaire.

Ce que vous pouvez faire cette semaine

Vous n'avez pas besoin de tout réviser d'un coup. Trois actions concrètes en 5 jours :

  1. Inventaire : listez les outils IA actifs (incluant ceux non officiellement déployés — voir notre dossier sur le shadow AI). Pour chacun, notez si vous traitez des données personnelles, RH, financières, médicales ou clients.
  2. Tri par risque : ce qui touche des données sensibles passe en priorité 1. Le reste attend.
  3. Demande d'avenant : envoyez un courriel-type à chaque éditeur priorité 1, demandant les avenants AI Act / DPA et la liste des sous-traitants. La réponse (ou son absence) vous dira tout du sérieux du fournisseur.

Cette démarche prend en moyenne 8 heures réparties sur 5 jours, sans avocat. C'est le coût d'entrée minimum pour ne pas réveiller la CNIL en septembre.

Notre verdict

Le contrat SaaS IA n'est plus un détail juridique. C'est désormais la première ligne de défense de votre conformité AI Act et RGPD. Les 8 clauses ci-dessus ne couvrent pas tout, mais elles bouchent 80 % des trous où passent les sanctions et les litiges.

Si votre éditeur refuse de négocier aucune de ces clauses, c'est un signal. Pour une PME, le marché s'élargit chaque mois : Anthropic, OpenAI, Mistral, mais aussi LightOn, Dust, Giskard côté français — sont tous prêts à discuter. La concurrence joue désormais en votre faveur. Profitez-en avant que l'AI Act ne donne la main aux contrôleurs.

FAQ

Faut-il un avocat spécialisé pour réviser un contrat SaaS IA ?
Pas obligatoire, mais recommandé dès que vous traitez des données personnelles ou sensibles. Le programme « AI Compliance PME » du gouvernement plafonne les honoraires à 2 500 € HT pour une revue type. Pour un outil non sensible (générateur d'images marketing par exemple), une auto-revue avec la checklist ci-dessus suffit dans la plupart des cas.
Le contrat SaaS IA standard ChatGPT Business est-il conforme AI Act ?
Pas par défaut. OpenAI propose un avenant EU AI Act DPA depuis mars 2026, mais il faut le demander explicitement à votre commercial. Sans cet avenant, vous n'avez ni clause AI Act, ni engagement formel sur la conservation des données. Demandez-le par écrit avant le 2 août 2026.
Quelle sanction concrète risque une PME qui n'a pas mis à jour ses contrats SaaS IA en août 2026 ?
Les sanctions AI Act s'appliquent par graduation. Premier contrôle CNIL : mise en demeure, délai de mise en conformité de 3 à 6 mois. En cas de récidive ou de manquement grave (biais discriminatoire prouvé, fuite massive), amendes administratives jusqu'à 15 M€ ou 3 % du CA mondial pour les obligations classiques, 35 M€ ou 7 % pour les pratiques interdites.
Peut-on imposer ces clauses à un éditeur US comme Anthropic ou OpenAI ?
Oui, à condition d'être un compte B2B identifié. Les contrats Enterprise sont systématiquement négociables. Pour les forfaits inférieurs (Plus, Business standard), vous restez sur les CGU. Le seuil de négociation se situe autour de 50 utilisateurs payants en moyenne.
Que vaut un DPA RGPD signé avant l'AI Act ?
Il reste valide pour les obligations RGPD pures, mais il ne couvre pas les obligations spécifiques de l'AI Act (transparence, supervision humaine, FRIA). Un avenant AI Act est donc nécessaire en plus, sauf si l'éditeur a publié un DPA combiné depuis 2025.
Partager
★ Pack PME · 49 €

Vous avez aimé cet article ? Allez plus loin.

Le pack qui complète la théorie : 30 prompts + workflows actionnables, pas un autre cours en ligne.

Découvrir le pack →
Vous aimerez aussi
Checklist de conformité AI Act posée sur un bureau avec un drapeau européen en arrière-plan
Guides 9 min

AI Act post-Omnibus : 79 jours pour mettre votre PME en règle

L'AI Omnibus du 7 mai 2026 repousse certaines échéances et étend les allègements PME. Checklist concrète pour être prêt le 2 août.

15 mai 2026 Lire le guide →
Balance de justice avec d'un côté un pinceau humain, de l'autre une puce IA, symbolisant le flou juridique du droit d'auteur sur les contenus générés par intelligence artificielle
Guides 9 min

Votre logo IA n'appartient à personne — et c'est un problème

Un contenu 100 % IA n'a aucun droit d'auteur en France. Voici ce que ça change pour votre PME et comment protéger vos créations.

23 mai 2026 Lire le guide →
Document de charte IA posé sur un bureau avec un cadenas numérique
Guides 10 min

Pas de charte IA dans votre PME ? Trois bombes à retardement

CNIL, AI Act et assureurs exigent une charte IA. 75 % des PME n'en ont pas. Guide complet pour rédiger la vôtre en 4 semaines.

18 mai 2026 Lire le guide →
Résumé vidéoen cours…