AI PlaybookEU

Liste de contrôle sous-traitance pour les services cloud d'IA (art. 28 RGPD)

Liste de contrôle structurée pour examiner et rédiger des contrats de sous-traitance pour les services cloud d'IA – incluant l'utilisation des données d'entraînement, les chaînes de sous-traitants et la journalisation API.

11 février 20265 min de lecture
Sous-traitanceArt. 28 RGPDTraitement des donnéesCloud IASous-traitantConformité

Vue d'ensemble

Lors de l'utilisation de services cloud d'IA externes (par exemple API LLM, plateformes ML, services d'hébergement), une sous-traitance au sens de l'art. 28 RGPD s'applique régulièrement.

Dans ce cas, un contrat de sous-traitance est requis, qui doit contenir certains contenus minimaux. Avec les services d'IA, des spécificités supplémentaires se posent -- notamment concernant l'utilisation des données d'entraînement, l'amélioration du modèle et les chaînes de sous-traitants.

Cette liste de contrôle sert d'aide à l'examen structuré pour les organisations.

Note

La conception spécifique d'un contrat de sous-traitance dépend du cas individuel et devrait être examinée par un conseiller juridique.

Liste de contrôle sous-traitance (art. 28 RGPD)

1. Structure de base du contrat

A) Objet et durée

  • L'objet du traitement est-il clairement décrit ?
  • La durée est-elle définie ?
  • La finalité est-elle précisément indiquée (par exemple « hébergement d'un chatbot IA ») ?

B) Nature et finalité du traitement

  • Quelles étapes de traitement sont effectuées (stockage, entraînement, inférence) ?
  • Une amélioration du modèle a-t-elle lieu ?
  • Une journalisation ou une analyse des prompts est-elle effectuée ?

C) Catégories de données à caractère personnel

  • Données clients
  • Données de candidature
  • Données de santé
  • Données d'utilisation
  • Catégories sensibles (art. 9 RGPD) ?

D) Catégories de personnes concernées

  • Clients
  • Employés
  • Candidats
  • Patients
  • Autres

2. Obligation de suivre les instructions

  • L'obligation de suivre les instructions est-elle clairement réglementée ?
  • Les instructions sont-elles documentables ?
  • Existe-t-il une procédure de modification des instructions ?

Erreur typique

Des finalités de traitement floues ou trop larges peuvent compromettre l'obligation de suivre les instructions.

3. Confidentialité

  • Obligation de confidentialité pour les employés ?
  • Restrictions d'accès définies ?
  • Concepts de rôles en place ?

4. Mesures techniques et organisationnelles (MTO)

  • Chiffrement (en transit / au repos)
  • Contrôle d'accès
  • Journalisation
  • Processus de réponse aux incidents
  • Mécanismes de sauvegarde et de restauration
  • Protection contre la manipulation du modèle

Les MTO sont-elles décrites concrètement en annexe ?

5. Sous-traitants ultérieurs

  • Des sous-traitants ultérieurs sont-ils utilisés ?
  • Une liste complète existe-t-elle ?
  • Existe-t-il un droit d'opposition en cas de changements ?
  • Les sous-traitants ultérieurs sont-ils contractuellement liés à des standards équivalents ?

Chaînes de sous-traitants

Avec les services cloud d'IA, des chaînes de sous-traitants à plusieurs niveaux peuvent exister. La transparence est ici particulièrement importante.

6. Transferts vers des pays tiers

  • Le traitement a-t-il lieu en dehors de l'UE/EEE ?
  • Une certification DPF existe-t-elle ?
  • Des clauses contractuelles types (CCT) ont-elles été conclues ?
  • Une évaluation d'impact du transfert a-t-elle été réalisée ?

7. Soutien aux droits des personnes concernées

  • Le prestataire soutient-il les demandes d'accès ?
  • Des mécanismes d'effacement sont-ils définis ?
  • Les données peuvent-elles être retirées des jeux de données d'entraînement ?
  • Un soutien pour les procédures d'opposition est-il prévu ?

8. Utilisation des données d'entraînement et amélioration du modèle (spécifique IA)

  • Les données clients sont-elles utilisées pour l'entraînement du modèle ?
  • L'utilisation se fait-elle uniquement sous forme anonymisée/pseudonymisée ?
  • L'utilisation à des fins d'entraînement peut-elle être désactivée ?
  • La finalité est-elle réglementée de manière transparente ?

Amélioration du modèle

L'utilisation de données clients pour l'amélioration du modèle peut constituer un traitement distinct.

9. Journalisation API et stockage des données

  • Les prompts sont-ils stockés ?
  • Les résultats sont-ils stockés ?
  • Quelle est la durée de stockage ?
  • Les délais de conservation sont-ils définis ?

10. Droits d'audit et de contrôle

  • Un droit d'audit existe-t-il ?
  • Des certifications sont-elles fournies (par exemple ISO) ?
  • Un processus d'audit est-il défini ?

11. Suppression et restitution des données

  • Les données sont-elles supprimées ou restituées après la fin du contrat ?
  • Le processus de suppression est-il documenté ?
  • Existe-t-il des preuves de suppression ?

12. Gestion des incidents

  • Une obligation de signalement des incidents de protection des données est-elle réglementée ?
  • Des délais sont-ils définis ?
  • Des obligations de coopération sont-elles convenues ?

Matrice de contrôle compacte

Point de contrôleRempli (Oui/Non)Actions requises
Contrat de sous-traitance conclu
MTO spécifiées
Sous-traitants examinés
Transferts vers des pays tiers réglementés
Utilisation des données d'entraînement clairement réglementée
Soutien aux droits des personnes concernées assuré

Sources d'erreur typiques

ErreurRisque
Pas de contrat de sous-traitance pour l'utilisation d'APIViolation du RGPD
Utilisation floue des données d'entraînementProblème de limitation des finalités
CCT/TIA manquantesViolation de transfert vers un pays tiers
Pas de droit d'auditPerte de contrôle
Pas de disposition claire de suppressionViolation de la responsabilité

Recommandation pratique

Avant de déployer un service cloud d'IA, vous devriez :

  1. Effectuer une clarification des rôles (responsable de traitement vs. sous-traitant).
  2. Examiner ou renégocier le contrat de sous-traitance.
  3. Analyser intégralement la chaîne de sous-traitants.
  4. Documenter les transferts vers des pays tiers.
  5. Régler contractuellement et clairement l'utilisation des données d'entraînement.

Besoin d'aide pour la mise en œuvre ?

Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.

Parler à un architecte IADiscuter de la stratégie IA

Besoin de clarté juridique ?

Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.

Demander un conseil juridiqueClarifier les questions Loi sur l'IA et RGPD

Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.

Vous ne savez pas où vous en êtes ?

Si votre cas d'utilisation de l'IA ne s'inscrit pas clairement dans une catégorie, envoyez-nous une brève description — nous vous orienterons dans la bonne direction.

Envoyer une demande personnaliséeDécrire votre cas d'utilisation

Prochaines étapes

  1. Examinez les contrats cloud d'IA existants à l'aide de cette liste de contrôle.
  2. Identifiez les lacunes dans les dispositions relatives aux données d'entraînement ou aux sous-traitants.
  3. Clarifiez les mécanismes de transfert vers des pays tiers.
  4. Mettez à jour votre documentation.
  5. Faites examiner votre contrat de sous-traitance par des experts qualifiés si nécessaire.

Besoin d'aide pour la mise en œuvre ?

Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.

Parler à un architecte IADiscuter de la stratégie IA

Besoin de clarté juridique ?

Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.

Demander un conseil juridiqueClarifier les questions Loi sur l'IA et RGPD

Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.

Articles connexes

RGPD et IA

Art. 44–49 RGPD – Transferts vers des pays tiers pour les services d'IA

Quand un transfert vers un pays tiers au sens des art. 44–49 RGPD s'applique-t-il ? Décisions d'adéquation, clauses contractuelles types (CCT), évaluation d'impact du transfert (TIA) et orientation pratique pour l'utilisation du cloud et des LLM.

Lire la suite

RGPD et IA

Art. 6 RGPD – Licéité du traitement

Les six bases juridiques de l'art. 6 RGPD en détail – avec un focus particulier sur les systèmes d'IA, le consentement, l'intérêt légitime et le changement de finalité pour l'entraînement de modèles.

Lire la suite

Loi sur l'IA de l'UE

Modèles GPAI selon les art. 51–56 de la Loi sur l'IA de l'UE

Que sont les modèles d'IA à usage général (GPAI) selon la Loi sur l'IA ? Aperçu de la définition, des obligations des fournisseurs, du risque systémique, du seuil FLOPs et des implications pratiques pour les entreprises utilisant des LLM.

Lire la suite