M&A : La conformité à la loi sur l’IA entre dans la phase de diligence raisonnable
Le 1er août 2024, le Règlement de l’Union européenne sur l’intelligence artificielle (appelé AI Act) est officiellement entré en vigueur, avec une mise en œuvre progressive entre 2025 et 2026.
À partir du 2 février de l’année dernière, les règles concernant les pratiques d’IA non durables et les obligations de littératie sont applicables. À compter du 2 août, les règles sur les modèles d’intelligence artificielle généralisée (GPAI) entreront en vigueur, et d’ici le 2 août de cette année, les règles sur l’IA à haut risque seront opérationnelles, avec une extension pour certains produits jusqu’en 2027.
Un cadre réglementaire basé sur les risques
Ce nouveau cadre réglementaire transforme l’IA d’une simple technologie innovante en un objet de réglementation précise en introduisant des exigences de traçabilité, de surveillance humaine et de responsabilité, avec des amendes attendues pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.
Entre-temps, l’Italie a adopté la loi L.132/2025, conformément à l’AI Act, visant à renforcer les principes d’humanité, de transparence et de sûreté, en portant une attention particulière aux secteurs critiques pour lesquels la loi impose la traçabilité des décisions algorithmiques, le contrôle humain, une plus grande protection des mineurs, des obligations d’information spécifiques et la criminalisation des pratiques illégales, telles que les deepfakes.
Évolution de la diligence raisonnable
Depuis l’année dernière, l’intelligence artificielle est donc devenue un facteur réglementé de grande importance dans les transactions extraordinaires, sujet d’évaluation dans l’analyse des contrats et des risques lors de la diligence raisonnable.
Nous assistons donc à une évolution de la diligence raisonnable technologique vers la diligence raisonnable des risques liés à l’IA : il ne suffit plus de vérifier si la cible utilise des systèmes d’intelligence artificielle ; il est nécessaire de cartographier leurs types, leurs objectifs, le rôle de l’entreprise (fournisseur, intégrateur ou utilisateur), la chaîne d’approvisionnement technologique, les modèles et ensembles de données utilisés, les droits d’utilisation et les dépendances vis-à-vis de tiers.
Cela permet de classer les systèmes selon la taxonomie de l’AI Act (inacceptable, élevé, limité, risque minimal) et d’estimer les obligations, les coûts et les délais de conformité, ayant un impact direct sur le plan d’affaires post-acquisition.
Les nouveaux signaux d’alerte
À la lumière de ce nouvel environnement réglementaire, de nouveaux signaux d’alerte émergent : l’utilisation de systèmes d’IA dans des décisions critiques sans un niveau adéquat de gouvernance et de surveillance humaine ; des ensembles de données historiques mal documentés en termes de provenance, de licences et de qualité ; une dépendance critique à des fournisseurs tiers sans garanties contractuelles adéquates ; et l’absence de procédures pour surveiller et gérer les incidents liés à l’IA.
Ces questions critiques entraînent des risques juridiques, réputationnels et opérationnels et affectent l’évaluation des actifs, pouvant conduire à des remises de prix ou à l’abandon total d’une opération.
Diligence raisonnable en matière d’IA
La diligence raisonnable en matière d’IA, incluant des audits des données d’entraînement, la vérification des consentements, des licences et l’analyse du code et de la documentation, est désormais indispensable et ne peut être reportée à la phase post-clôture.
Le côté contractuel s’adapte également en ajoutant aux Représentations et Garanties traditionnelles des clauses spécifiques telles que la bonne classification et la conformité des systèmes selon l’AI Act (y compris l’absence de pratiques interdites au titre de la Section 5) ; la propriété des droits sur les données et technologies utilisées, toute dépendance cachée dans la chaîne d’approvisionnement et enfin l’absence de violations réglementaires.
Gestion des risques réglementaires
En cas de lacunes en matière de conformité, des clauses de remédiation, des conditions préalables, des ajustements de prix ou des indemnisations spécifiques sont donc utilisés pour répartir le risque réglementaire, ainsi que des contraintes de gouvernance pré-clôture pour préserver la conformité et la valeur de la transaction.
La concentration sur la préparation à l’IA croît également dans le capital-risque : des droits de divulgation améliorés, des clauses de gouvernance et des obligations d’allouer des ressources à la conformité apparaissent dans les feuilles de conditions.
Conclusion
En conclusion, la conformité à l’IA prend le rôle d’un levier de valeur : elle réduit les remises et les pénalités, accélère les négociations, augmente l’attractivité pour les investisseurs, y compris les investisseurs transfrontaliers, et renforce la confiance du marché.
De nos jours, la valeur d’une entreprise technologique dépend non seulement de l’algorithme, mais aussi de sa capacité à le développer de manière durable et conforme, transformant la conformité d’une obligation réglementaire en un véritable avantage concurrentiel.