5 contrats à signer avant un projet IA en PME

Vous avez trouvé un prestataire IA. Le devis est signé, le projet démarre lundi. Et côté contrats ? Souvent : un bon de commande et basta.

C'est là que les ennuis commencent. Trois mois plus tard, vous découvrez que vos données clients ont nourri un modèle public, que le code livré ne vous appartient pas vraiment, et que personne n'a signé de DPA. Bienvenue dans la zone grise juridique de l'IA en PME.

Pourquoi les contrats IA ne sont pas des contrats logiciels classiques

Un projet IA mélange du code, des données, des modèles tiers (OpenAI, Anthropic, Mistral) et des prompts métier. Chacun de ces éléments a un statut juridique différent.

Le code peut être open source ou propriétaire. Les données vous appartiennent mais transitent par des serveurs étrangers. Les modèles sont sous licence d'éditeurs qui changent leurs CGU tous les six mois. Et les prompts ? Personne ne sait vraiment qui en est propriétaire.

Un contrat de développement logiciel classique ne couvre pas ces zones. Vous avez besoin de cinq documents spécifiques, à signer avant que la première ligne de code ne soit écrite.

1. Le NDA renforcé : protéger vos données métier

Le NDA standard (accord de confidentialité) que vous signez avec un prestataire couvre vos secrets commerciaux. Pour un projet IA, ça ne suffit pas.

Votre prestataire va voir passer des extraits de votre CRM, vos factures, vos emails, peut-être vos contrats clients. Il faut que le NDA mentionne explicitement :

• L'interdiction d'utiliser vos données pour entraîner des modèles tiers
• Le périmètre des collaborateurs autorisés à y accéder (nom + rôle)
• La durée de conservation post-projet (souvent 30 jours max après livraison)
• Les modalités de destruction certifiée

Un cabinet d'expertise comptable que Rocket IA a accompagné avait signé un NDA classique avec son premier prestataire. Résultat : ses bilans clients sont passés par ChatGPT en mode gratuit pendant six mois. Aucune fuite avérée, mais un audit qualité catastrophique côté ordre des experts-comptables.

2. Le DPA : l'incontournable RGPD

Le DPA (Data Processing Agreement) est obligatoire dès que votre prestataire traite des données personnelles pour vous. C'est l'article 28 du RGPD, pas une option.

Ce que doit contenir le DPA

Le DPA doit lister précisément :

• La nature et la finalité du traitement
• Les catégories de données (clients, salariés, prospects...)
• La localisation des serveurs utilisés
• Les sous-traitants ultérieurs (OpenAI, AWS, Azure...)
• Les mesures de sécurité techniques

Le piège des transferts hors UE

Si votre prestataire utilise GPT-4 ou Claude, vos données partent aux États-Unis. Le DPA doit mentionner les clauses contractuelles types (CCT) ou le Data Privacy Framework. Sans ça, vous êtes en infraction.

Beaucoup de PME découvrent ce point quand un client B2B leur demande leur registre des sous-traitants. Mieux vaut anticiper.

3. Le contrat de cession de droits sur le code et les prompts

C'est le contrat le plus négligé. Pourtant, c'est celui qui détermine si vous pouvez changer de prestataire dans deux ans sans tout refaire.

Par défaut en droit français, le code développé par un prestataire indépendant lui appartient. Vous avez juste un droit d'usage. Si vous voulez les droits patrimoniaux complets, il faut une cession écrite, précise, avec mention des modes d'exploitation et de la durée.

Pour les prompts, c'est encore plus flou. Un prompt bien travaillé pour votre métier peut valoir plusieurs jours de R&D. Précisez dans le contrat :

• Qui détient les prompts finaux livrés
• Le droit de les modifier sans autorisation
• L'interdiction pour le prestataire de les réutiliser chez un concurrent

Avant même de signer, posez-vous la question des tâches que vous voulez automatiser. Notre méthode pour identifier les tâches automatisables en 30 secondes vous évitera de payer pour des prompts sur des sujets accessoires.

4. Le SLA : ce qui se passe quand l'IA dérape

Une IA, ça hallucine. Ça plante. Ça donne des résultats faux 2% du temps. Votre SLA (Service Level Agreement) doit prévoir ces cas.

Un SLA IA correct contient :

• Un taux de disponibilité (généralement 99% sur les heures ouvrées)
• Un délai d'intervention en cas d'incident (4h, 24h, 48h selon criticité)
• Un taux de précision minimum sur les tâches automatisées
• Les pénalités en cas de non-respect

Attention au taux de précision. Si vous automatisez la saisie de factures fournisseurs et que le prestataire vous promet 99%, demandez comment c'est mesuré et sur quel échantillon. Pour donner un ordre d'idée du gain potentiel quand le SLA tient, voyez notre retour sur l'OCR IA appliqué aux factures fournisseurs.

La clause de réversibilité

Nouveau réflexe à acquérir : exiger une clause de réversibilité. Si vous arrêtez la collaboration, le prestataire doit vous fournir :

• Le code source commenté
• Les prompts dans leur dernière version
• La documentation technique
• Un export complet des données

Sans ça, vous êtes prisonnier.

5. La charte d'usage interne : encadrer vos propres équipes

Le cinquième contrat n'est pas signé avec le prestataire mais avec vos salariés. C'est la charte d'usage de l'IA en interne, annexée au règlement intérieur.

Elle définit :

• Quels outils IA sont autorisés (et lesquels sont interdits)
• Quelles données peuvent ou non être collées dans un prompt
• Les sanctions en cas de non-respect
• Les obligations de transparence (signaler les contenus générés)

Sans cette charte, vous ne pouvez ni contrôler ni sanctionner. Et l'usage non encadré explose. Le sujet du Shadow ChatGPT et de ce que vos équipes cachent mérite à lui seul une réunion CODIR avant de lancer le moindre projet officiel.

L'ordre dans lequel signer

Dans la pratique, voici la séquence qui marche :

1. NDA renforcé dès le premier rendez-vous d'avant-vente
2. Charte interne avant tout pilote, même informel
3. DPA + cession de droits au moment du devis signé
4. SLA intégré au contrat de prestation principal

Comptez deux à trois semaines de négociation pour un dossier propre. Ça paraît long. Mais comparez ce délai au coût d'une procédure prud'homale, d'une mise en demeure CNIL ou d'un litige sur la propriété du code : le calcul est vite fait.

Faut-il un avocat spécialisé ?

Pour une PME de moins de 50 personnes avec un projet IA inférieur à 30 000 €, des modèles types bien adaptés suffisent souvent. Au-delà, oui, un avocat IT spécialisé en IA est rentable. Comptez 1 500 à 3 000 € pour faire valider l'ensemble du paquet contractuel.

C'est un investissement, pas une dépense. Surtout quand on rapporte ce coût aux économies du projet IA lui-même. La méthode de calcul du prix d'une heure perdue en PME vous aidera à objectiver le ROI face à ces frais juridiques.

En résumé

NDA renforcé, DPA, cession de droits, SLA, charte interne. Cinq documents, signés dans le bon ordre, avant la première ligne de code. C'est la condition pour qu'un projet IA crée de la valeur au lieu d'en détruire.

Vous avez un projet IA en réflexion et vous voulez vérifier que votre cadre contractuel est solide ? Rocket IA propose un audit gratuit de 30 minutes pour passer en revue votre setup juridique et identifier les angles morts. Réservez votre créneau et partez sur des bases saines.