Comment intégrer l’AI Act dans la due diligence d’un site web avant acquisition : cartographie des risques IA, obligations de transparence, données, documentation, sanctions et clauses de répartition des risques entre cédant et acquéreur.
AI Act au 2 août : les nouvelles obligations IA à intégrer dans votre check-list de due diligence

Cartographier les niveaux de risque IA d’un site avant l’acquisition

Pour un investisseur, la question centrale n’est plus seulement le prix mais le niveau de risque lié aux systèmes d’intelligence artificielle intégrés au site. L’AI Act, en tant que règlement européen directement applicable, impose une lecture structurée des risques IA dans tout processus de vente de site web, avec un impact immédiat sur la valorisation et sur la négociation des garanties d’actif et de passif. Votre check-list de due diligence doit donc intégrer la classification par niveau de risque des systèmes IA utilisés, en cohérence avec le cadre juridique posé par ce nouvel act, notamment ses articles 5 (pratiques interdites) et 6 à 9 (systèmes à haut risque au sens de l’annexe III).

Le texte distingue les pratiques interdites, les systèmes à haut risque, les solutions à risque limité et les usages à risque minimal, ce qui oblige l’acquéreur à qualifier chaque outil d’IA présent sur le site. Dans la plupart des opérations de rachat de sites éditoriaux ou e‑commerce, les briques concernées sont les chatbots, les moteurs de recommandation, les outils de scoring et les générateurs de contenu, qui relèvent souvent des systèmes à risque limité mais peuvent basculer en haut risque dès qu’ils touchent au crédit ou à l’emploi (annexe III, points 5 et 6 de la version finale du règlement). Cette analyse de conformité doit être documentée dans la data room, avec une documentation technique minimale permettant de démontrer la maîtrise des risques et la compatibilité avec le règlement IA européen, par exemple via une fiche par outil décrivant finalité, logique de fonctionnement et contrôles internes.

Les annexes du texte, et en particulier toute annexe listant les cas de haut risque, servent de grille de lecture pour qualifier les modèles d’IA utilisés par le site, qu’ils soient internes ou fournis par des fournisseurs tiers. Dans une logique d’acquisition, vous devez exiger un inventaire des modèles et des systèmes d’intelligence artificielle déployés, en précisant pour chacun le niveau de risque, les finalités, les données d’entraînement et les mécanismes de supervision humaine prévus. Cette cartographie des obligations IA devient un élément clé de la valorisation, au même titre que l’analyse du trafic, des revenus récurrents ou des clauses de non‑concurrence déjà en place dans d’autres volets du cadre juridique de la vente, et peut prendre la forme d’un tableau type de due diligence : nom du système, fournisseur, catégorie de risque selon l’annexe III, finalité, jeux de données, contrôles, incidents connus, preuves de conformité (rapports d’audit, journaux de supervision, évaluations d’impact).

Transparence, données et documentation : le nouveau socle contractuel à auditer

À compter du 2 août, les obligations de transparence de l’AI Act s’imposent à tout site qui utilise un chatbot ou qui publie du contenu généré par intelligence artificielle. Tout site qui intègre un agent conversationnel doit informer clairement l’utilisateur qu’il interagit avec une IA (article 52), et tout contenu généré par IA doit être identifié comme tel, ce qui transforme ces exigences en clauses contractuelles à intégrer dans les garanties de conformité lors d’une cession. Pour un acquéreur, la question n’est plus de savoir si ces obligations s’appliquent, mais de mesurer le coût de leur mise en œuvre et le risque de sanctions en cas de manquement, à la lumière des communications officielles de la Commission européenne sur le calendrier d’application et des premières lignes directrices publiées.

La gestion des données personnelles et des données d’entraînement devient un point de friction majeur entre AI Act et RGPD, car un même système d’intelligence artificielle peut traiter des données de navigation, des historiques d’achat et des logs de conversation. Dans votre due diligence, vous devez vérifier la cohérence entre les mentions d’information, les bases légales de traitement, les durées de conservation et les flux de données vers les fournisseurs de modèles IA, en particulier lorsque ceux‑ci sont hors de l’Espace européen. La documentation technique exigée par l’AI Act (articles 11 et 18), combinée aux registres de traitement RGPD, doit figurer dans un data room structuré, par exemple en s’appuyant sur une méthodologie de data room convaincante pour rassurer un acquéreur de site web et en y ajoutant une section spécifique « IA » (politique d’usage, DPIA, rapports d’audit, fiches de risques).

Les premières amendes prononcées au titre du DSA, avec plus de 120 millions d’euros infligés à certaines grandes plateformes, envoient un signal clair sur l’appétit des autorités pour les sanctions numériques à l’échelle du chiffre d’affaires annuel mondial. L’AI Act prévoit lui aussi des plafonds pouvant atteindre plusieurs dizaines de millions d’euros ou un pourcentage du chiffre d’affaires annuel mondial (jusqu’à 7 % pour certaines violations graves, selon l’article 99 du texte adopté), ce qui doit être intégré dans les clauses de révision de prix et dans les mécanismes d’ajustement post‑closing. Dans ce contexte, les lignes directrices de la Commission européenne sur l’application de l’act et sur les dates clés de montée en charge des obligations IA deviennent des repères indispensables pour calibrer les garanties de passif et les engagements de mise en conformité, en s’inspirant aussi des décisions déjà rendues par les autorités de contrôle numériques.

Calendrier, prix d’acquisition et clauses de répartition des risques IA

Le calendrier de l’AI Act crée un décalage entre les obligations de transparence applicables dès le 2 août et les exigences renforcées pour les systèmes à haut risque, qui n’entreront en vigueur que plus tard, notamment pour certains usages de scoring de solvabilité ou de paiement fractionné. Pour un investisseur qui achète aujourd’hui un site utilisant déjà des systèmes de scoring ou des modèles de recommandation avancés, ce décalage doit être intégré dans le modèle financier, avec une provision explicite pour la future mise en conformité des systèmes à haut niveau de risque. Les dates clés du règlement européen deviennent ainsi des jalons de CAPEX réglementaire, au même titre qu’une refonte technique ou qu’un projet de rebranding, et doivent figurer dans le business plan sous forme de calendrier d’investissements IA.

Dans la négociation, la question centrale est la répartition des risques IA entre cédant et acquéreur, notamment lorsque le site repose sur des fournisseurs tiers pour ses briques d’intelligence artificielle. Les clauses de garantie doivent couvrir non seulement le respect actuel des obligations de transparence et de gestion des données, mais aussi l’application de l’act dans le temps, en prévoyant des engagements de coopération pour adapter les systèmes aux futures lignes directrices et aux évolutions du digital omnibus européen. Il devient pertinent d’articuler ces engagements avec d’autres clauses sensibles, comme celles relatives à la clause de non‑concurrence dans la cession d’un site, afin de sécuriser à la fois les droits fondamentaux des utilisateurs et la valeur économique de l’actif, par exemple via des obligations de mise à jour des modèles et de notification en cas de changement réglementaire.

Pour les sites fortement marqués par l’IA, la stratégie de marque et l’architecture produit doivent parfois être ajustées, ce qui renvoie à la question du rebranding après rachat d’un site acquis lorsque les fonctionnalités d’intelligence artificielle deviennent un argument commercial mais aussi une source de risques réglementaires. Les contrats doivent prévoir une supervision humaine effective des systèmes critiques, une traçabilité des données d’entraînement et des mécanismes de retrait rapide en cas de dérive, afin de respecter les droits fondamentaux et d’éviter les pratiques interdites. En pratique, l’AI Act transforme la due diligence IA en un volet autonome de la transaction, au même niveau que la cybersécurité, la fiscalité ou la propriété intellectuelle, et impose aux acquéreurs de traiter les obligations IA comme un déterminant direct du ROI futur, avec une checklist dédiée dans la data room (inventaire des systèmes, preuves de conformité, plans de remédiation, responsabilités contractuelles et tableau de suivi des risques).

Ressources de référence

Pour aller plus loin sur l’AI Act, les obligations de transparence et les impacts pour les sites web, les propriétaires et acquéreurs peuvent utilement consulter les analyses publiées par Haas Avocats, Lawwwing et Gibson Dunn, qui suivent de près l’application de l’act et les dates clés du règlement européen, ainsi que les communiqués officiels de la Commission européenne, le texte consolidé du règlement et les premières lignes directrices interprétatives relatives aux systèmes à haut risque et aux modèles d’IA générative.

Publié le