MISE À JOUR : Date limite pour les commentaires sur la clause AI proposée par la GSA prolongée au 3 avril 2026
Le 6 mars 2026, l’Administration des services généraux (GSA) a proposé la clause GSAR 552.239-7001, intitulée Protection de base des systèmes d’intelligence artificielle — une première clause de contrat visant à imposer des exigences de protection spécifiques à l’IA via des véhicules d’approvisionnement. Cette clause est proposée pour inclusion dans les contrats du calendrier GSA à travers le rafraîchissement 32 du MAS, marquant un changement significatif par rapport aux pratiques d’acquisition fédérales existantes, aucune autre agence n’ayant mis en œuvre une clause de gouvernance de l’IA comparable et autonome.
Au lieu de procéder par le biais d’une réglementation traditionnelle par avis et commentaires, la GSA a publié la clause via le processus de commentaires du rafraîchissement MAS, entraînant un calendrier très compressé pour le retour des parties prenantes. MISE À JOUR : Les commentaires sur la clause proposée devaient initialement être soumis d’ici le 20 mars 2026, mais la GSA a annoncé via son blog le 19 mars 2026 que (i) cette date limite était prolongée au 3 avril 2026, et (ii) la GSA n’inclura pas la clause dans le prochain rafraîchissement MAS 31, mais elle sera considérée pour mise en œuvre dans le rafraîchissement 32.
Obligations contractuelles
Si elle est adoptée dans sa forme actuelle, la clause imposerait immédiatement des obligations contractuelles régissant le développement, le déploiement et la gestion des systèmes d’intelligence artificielle utilisés dans ou fournis dans le cadre de contrats fédéraux.
Sur le fond, la clause GSAR 552.239-7001 est conçue pour faire avancer les objectifs fédéraux en mettant l’accent sur le contrôle, la transparence et la responsabilité en matière d’IA. Elle répond à une préoccupation croissante au sein du gouvernement fédéral concernant la sécurité des données, le risque de la chaîne d’approvisionnement et la nature opaque de nombreux systèmes d’IA commerciaux. Les entrepreneurs qui s’appuient sur l’IA — que ce soit pour l’analyse de données, la génération de contenu, l’automatisation ou le soutien à la décision — devront s’assurer que leurs pratiques sont conformes à ces priorités.
Exigences clés de la clause
La clause impose des exigences de divulgation étendues, des limitations strictes sur l’utilisation des données, des droits gouvernementaux larges pour utiliser les informations, et des obligations de conformité proactives pour les entrepreneurs livrant des capabilités en intelligence artificielle. Notamment, le terme “capabilités en intelligence artificielle” n’est pas défini dans le langage proposé, créant une ambiguïté. On s’attend à ce que les parties prenantes de l’industrie soulèvent cette question durant la période de commentaire, avec l’espoir qu’une orientation plus claire sera fournie dans la version finale de la clause.
Les obligations incluent :
- Utilisation exclusive de systèmes d’IA américains dans l’exécution des contrats, c’est-à-dire ceux développés et produits aux États-Unis (les systèmes étrangers sont expressément interdits) ;
- Divulgation de tous les systèmes d’IA utilisés dans le cadre de l’exécution d’un contrat dans toute la chaîne d’approvisionnement, même s’ils sont domestiques, dans les 30 jours suivant l’attribution, sauf si demandé plus tôt par l’agent contractant ;
- Assurer des mécanismes pour la surveillance, l’intervention et les retours du gouvernement ;
- Interdiction de l’utilisation des données gouvernementales pour former, peaufiner ou améliorer des modèles ou des offres d’IA ;
- Fournir au gouvernement des droits de propriété sur les produits et développements d’IA ;
- Rapporter rapidement (dans les 72 heures) les incidents de sécurité ou de performance et fournir des mises à jour quotidiennes si nécessaire ;
- Maintenir et fournir sur demande la documentation concernant (i) la conformité à la clause, y compris l’alignement avec le Cadre de gestion des risques de l’IA du NIST, (ii) les processus de prise de décision du système d’IA, la logique et les paramètres opérationnels, (iii) l’efficacité des contrôles de confidentialité et la conformité à l’interdiction de traitement des données personnelles identifiables (PII), et (iv) tout biais connu ;
- Assurer la portabilité et l’interopérabilité des données grâce à l’utilisation de formats de données ouverts et standardisés et d’interfaces de programmation d’applications (API), tout en évitant l’utilisation de technologies ou de formats propriétaires qui nécessitent des licences supplémentaires ou créent des dépendances vis-à-vis des fournisseurs ;
- Faire des efforts pour garantir que les systèmes d’IA respectent les principes d’IA impartiale, c’est-à-dire véridiques, historiquement exacts, neutres et non partisans.
Implications et prochaines étapes
Bien que la clause proposée puisse évoluer après que la GSA ait eu l’occasion de prendre en compte les retours des entrepreneurs, elle signale un changement significatif dans la manière dont le gouvernement fédéral envisage de gouverner l’IA.
À court terme, les entrepreneurs doivent s’attendre à ce que la clause soit affinée par la GSA tout au long du processus de rafraîchissement du MAS. Étant donné la période courte pour les commentaires (jusqu’au 3 avril 2026), les retours de l’industrie se concentreront probablement sur la faisabilité des exigences de divulgation, l’étendue des restrictions sur les données et les défis pratiques liés à la conformité aux obligations de flux.
Si adoptée, les entrepreneurs devraient anticiper les actions suivantes, s’ils ne l’ont pas déjà fait :
- Établir un cadre de gouvernance interne pour l’IA ;
- Développer des inventaires internes des systèmes d’IA utilisés dans l’exécution des contrats et préparer ces informations pour divulgation ;
- Rechercher des systèmes actuels et s’assurer que tous les systèmes d’IA utilisés qualifient en tant que systèmes d’IA américains ;
- Mettre en œuvre des politiques et des contrôles techniques pour séparer, gérer et protéger les données gouvernementales ;
- Réexaminer les accords avec les fournisseurs tiers pour garantir la conformité aux exigences de flux ;
- Établir des mécanismes de retour permettant au gouvernement de demander des modifications, des améliorations et des rapports ;
- Améliorer la coordination entre les équipes juridiques, de conformité et techniques pour assurer une infrastructure de conformité complète ;
- Mettre à jour les politiques et procédures internes relatives à l’utilisation de l’IA ;
- Former le personnel à l’utilisation appropriée de l’IA ;
- Se préparer à la notification des incidents et à la préparation des audits.
En conclusion, cette clause signale probablement une nouvelle direction pour la politique d’approvisionnement fédéral en ce qui concerne l’IA. Les entrepreneurs qui évaluent et mettent en œuvre proactivement ces nouvelles exigences seront dans une position plus forte pour rester conformes et compétitifs.