Utilisez ces clauses comme point de départ pour négocier vos contrats avec les fournisseurs d'IA. Elles couvrent les risques spécifiques à l'IA que les contrats fournisseurs standard négligent souvent, en particulier l'entraînement sur vos données, la conservation, les preuves d'audit et la notification d'incident.
Le fournisseur ne doit pas utiliser les Données Client (y compris les invites, entrées, sorties, journaux ou données de télémétrie) pour entraîner, affiner ou améliorer un quelconque modèle sans consentement écrit explicite. Le fournisseur doit prévoir une option de refus claire par défaut.
Le fournisseur doit divulguer les durées de conservation des Données Client et procéder à leur suppression dans un délai défini (par ex. 30 jours) sur demande ou à la résiliation du contrat.
Le fournisseur doit tenir à jour une liste des sous-traitants ultérieurs, informer le Client de toute modification à l'avance et prendre en charge les exigences de résidence des données le cas échéant.
Le fournisseur doit maintenir une certification SOC 2 Type II (ou équivalente), chiffrer les données en transit et au repos, imposer la MFA et appliquer des contrôles de moindre privilège pour les accès internes.
Le Client doit avoir le droit d'auditer les contrôles du fournisseur (ou de recevoir des preuves indépendantes telles que des rapports SOC 2) et de demander des attestations supplémentaires pour les contrôles spécifiques à l'IA.
Le fournisseur doit informer le Client, dans un délai défini (par ex. 24 à 72 heures), de tout incident de sécurité impliquant des Données Client, y compris les incidents spécifiques à l'IA (exploitation par injection de requête, mauvaise configuration de modèle entraînant une exposition de données).
Le fournisseur doit notifier à l'avance toute modification importante de modèle ayant un impact sur la sécurité, la confidentialité ou les performances, prévoir des options de retour arrière et documenter les modifications.
Le contrat doit traiter les risques spécifiques à l'IA (fuite de données, actions induites par des hallucinations, usage abusif) et prévoir des limites de responsabilité et des indemnisations appropriées.
Politiques, registres, listes de contrôle et plans de déploiement, prêts à personnaliser.
E-mail professionnel uniquement. Par Aona AI, la plateforme Workforce AI Security certifiée SOC 2 Type II.
Une bibliothèque de clauses est utile pour les achats. Aona AI vous offre une visibilité continue sur l'usage de l'IA, l'exposition des fournisseurs et des preuves prêtes pour l'audit.