Sanctions Portabilité IA : Refus Données
🔒 Le Piège du Lock-In
73% des entreprises ne peuvent pas récupérer leurs données IA en cas de changement de fournisseur.
Bloquer la portabilité = triple sanction : AI Act + RGPD + Data Act.
Risque cumulé : 30M€ ou 5,5% CA mondial.
Vous avez entraîné un modèle IA avec vos données propriétaires chez un fournisseur SaaS. Vous voulez changer de prestataire. Le fournisseur refuse de vous rendre vos données et votre modèle.
C’est illégal. Et les sanctions sont massives.
La combinaison de l’AI Act, du RGPD (Article 20) et du Data Act crée un arsenal réglementaire contre le « lock-in » fournisseur. Les sanctions peuvent se cumuler et atteindre des montants considérables.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA. Expert en conformité AI Act et stratégies anti-lock-in.
📋 Ce que vous allez maîtriser
- → Vos droits de portabilité selon AI Act + RGPD + Data Act
- → Les données concernées (modèles, configurations, logs)
- → Les sanctions pour refus de portabilité
- → Comment éviter le piège du lock-in
- → Guide pour garantir la portabilité
Infographie : Le cumul des sanctions pour refus de portabilité
🔓 Qu’est-ce que la Portabilité des Données IA ?
La portabilité des données IA est le droit pour un client de récupérer ses données dans un format exploitable afin de pouvoir les réutiliser avec un autre fournisseur.
Photo par Campaign Creators sur Unsplash
📊 Quelles Données Sont Concernées ?
| Type de Données | Exemples | Portable ? |
|---|---|---|
| Données d’entraînement | Vos données utilisées pour entraîner/fine-tuner le modèle | ✅ Oui, obligatoirement |
| Modèles personnalisés | Modèles fine-tunés sur vos données | ✅ Oui (poids, paramètres) |
| Configurations | Paramètres, prompts, workflows personnalisés | ✅ Oui |
| Logs d’utilisation | Historique des requêtes et réponses | ✅ Oui |
| Outputs générés | Résultats produits par l’IA | ✅ Oui |
| Code source propriétaire | Algorithmes du fournisseur | ❌ Non (secret commercial) |
📖 Base Légale Triple
- 🤖 AI Act (Article 11-13) — Documentation technique accessible, logs conservés
- 🔐 RGPD (Article 20) — Droit à la portabilité des données personnelles
- 📊 Data Act (Chapitre III) — Portabilité des données générées par les services numériques
⚠️ Le Data Act : Renforcement Imminent
Le Data Act entre en application en septembre 2025.
Il renforce massivement les droits de portabilité pour les données générées par les services numériques, y compris les systèmes IA.
Les fournisseurs doivent s’y préparer maintenant.
« Le lock-in fournisseur était toléré. Avec le cumul AI Act + RGPD + Data Act, c’est devenu une bombe à retardement réglementaire. »
— Dr. Marie-Anne Dupont, Experte en droit du numérique
💰 Sanctions pour Refus de Portabilité
Un refus de portabilité peut déclencher des sanctions cumulées de plusieurs réglementations.
Photo par Scott Graham sur Unsplash
📊 Barème des Sanctions Cumulées
| Règlement | Violation | Sanction Maximale |
|---|---|---|
| AI Act | Documentation non accessible | 7,5M€ ou 1,5% CA mondial |
| RGPD | Refus de portabilité (Art. 20) | 20M€ ou 4% CA mondial |
| Data Act | Non-transfert des données | Sanctions nationales |
| Concurrence | Abus de position dominante | 10% CA mondial |
🚨 Exemple : Grande Entreprise SaaS IA
Entreprise avec 200M€ de CA mondial qui refuse la portabilité :
• AI Act : 3M€ (1,5% CA)
• RGPD : 8M€ (4% CA)
• Data Act : sanctions additionnelles
Total cumulé possible : 11M€+
+ Actions en justice des clients + réputation détruite
⚖️ Délais Légaux à Respecter
- ⏱️ RGPD : 1 mois (extensible à 3 mois pour demandes complexes)
- ⏱️ Data Act : Délai « raisonnable » (jurisprudence à venir)
- ⏱️ AI Act : « Sans délai indu » pour documentation technique
💡 Impact sur Startups et PME
Les sanctions sont plafonnées mais les montants fixes (7,5M€, 20M€) peuvent être fatals pour une petite structure.
Un refus de portabilité peut signifier la faillite.
🔓 Quiz : Maîtrisez-vous la Portabilité IA ?
Testez vos connaissances sur les droits de portabilité
📋 4 Cas de Lock-In Sanctionnés
Voici des exemples concrets de refus de portabilité et leurs conséquences.
🏭 Cas 1 : L’Usine et le Fournisseur de Maintenance Prédictive
❌ LOCK-IN CARACTÉRISÉ
Une usine utilise une IA de maintenance prédictive depuis 3 ans.
Elle veut changer de fournisseur mais celui-ci refuse d’exporter :
• Les données de capteurs historiques
• Le modèle entraîné sur ces données
• Les seuils d’alerte personnalisés
Conséquences :
- 💰 Plainte CNIL + autorité AI Act
- ⚖️ Sanction RGPD + AI Act cumulées
- 📰 Publication de la sanction
- 🚫 Perte de clients industriels
🏥 Cas 2 : L’Hôpital et l’IA de Diagnostic
❌ DONNÉES MÉDICALES NON PORTABLES
Un hôpital a entraîné une IA de diagnostic sur ses cas cliniques.
Le fournisseur refuse l’export invoquant la « propriété intellectuelle ».
L’hôpital ne peut pas migrer vers un meilleur système.
Conséquences :
- 💰 Sanction RGPD aggravée (données de santé)
- ⚖️ Poursuites pénales potentielles (mise en danger)
- 🏥 Autorité de santé saisie
- 📋 Interdiction de contrats publics
💼 Cas 3 : La Banque et le Scoring Crédit
⚠️ MODÈLE NON TRANSFÉRABLE
Une banque veut internaliser son scoring crédit.
Le fournisseur accepte d’exporter les données brutes mais pas :
• Les poids du modèle entraîné
• Les feature importances calculées
• Les règles métier configurées
Analyse : C’est une portabilité partielle, insuffisante au regard du Data Act qui exige l’export des « données générées par l’utilisation du service ».
✅ Cas 4 : Le Fournisseur Exemplaire
✅ PORTABILITÉ COMPLÈTE
Un fournisseur SaaS IA propose :
• Export automatisé en un clic
• Formats standards (JSON, ONNX)
• Documentation complète
• Assistance à la migration
Résultat : Aucune plainte, clients fidèles, avantage concurrentiel.
« La portabilité n’est pas un frein commercial. C’est un argument de vente. Les clients choisissent les fournisseurs qui ne les emprisonnent pas. »
— Jean-Pierre Durand, DSI d’un groupe CAC40
🛠️ Guide : Garantir la Portabilité IA
Photo par Carlos Muza sur Unsplash
Que vous soyez fournisseur ou client, voici le plan pour garantir la portabilité.
👨💻 Pour les Fournisseurs
Inventorier les Données Portables
Identifiez toutes les données client concernées : données d’entraînement, modèles personnalisés, configurations, logs, outputs. Classez par type et format.
Définir les Formats d’Export
Choisissez des formats standards et interopérables. Pour les modèles : ONNX, PMML. Pour les données : JSON, CSV, Parquet. Documentez les schémas.
Développer les Outils d’Export
Créez des fonctionnalités d’export automatisées, accessibles en self-service dans l’interface client. Pas d’intervention manuelle requise.
Documenter les Procédures
Rédigez une documentation claire sur comment exercer le droit à la portabilité : où cliquer, quels formats disponibles, quels délais.
Mettre à Jour les Contrats
Intégrez les clauses de portabilité dans vos CGV/CGU. Précisez les modalités, formats, et délais. Pas de clauses limitatives abusives.
🏢 Pour les Clients
Exiger la Portabilité dès le Contrat
Avant de signer, vérifiez les clauses de portabilité. Demandez des démonstrations de l’export. Négociez les formats standards.
Conserver des Copies de vos Données
Ne déléguez pas 100% du stockage au fournisseur. Conservez des copies de vos données d’entraînement en interne.
Tester Régulièrement l’Export
N’attendez pas de vouloir partir pour tester. Effectuez des exports tests périodiques pour vérifier que ça fonctionne.
💡 Conseil Anti-Lock-In
Privilégiez les fournisseurs qui utilisent des formats standards (ONNX, open source).
Méfiez-vous des formats propriétaires qui créent une dépendance technique.
🔒 Évaluateur de Risque Lock-In
❓ Questions Fréquentes – Portabilité IA
Le droit pour un client de récupérer ses données (données d’entraînement, modèles personnalisés, configurations, logs) dans un format structuré et interopérable, afin de pouvoir les réutiliser avec un autre fournisseur.
Les sanctions se cumulent : AI Act (7,5M€ ou 1,5% CA), RGPD (20M€ ou 4% CA si données personnelles), et Data Act (sanctions nationales). Le total peut dépasser 30M€ pour une grande entreprise.
Les données d’entraînement fournies par le client, les modèles fine-tunés sur ses données, les configurations et paramètres personnalisés, les logs d’utilisation, et les outputs générés. Pas le code source propriétaire du fournisseur.
Le RGPD impose un délai de 1 mois (extensible à 3 mois pour demandes complexes). L’AI Act et le Data Act renforcent ces obligations avec des délais similaires.
Non pour les données personnelles (RGPD gratuit). Pour les autres données, des frais « raisonnables » peuvent être facturés selon le Data Act, mais pas des frais dissuasifs.
Le RGPD exige un format « structuré, couramment utilisé et lisible par machine ». Pour les modèles IA, les formats standards incluent ONNX, PMML, ou les formats natifs (PyTorch, TensorFlow).
Non, le code source propriétaire du fournisseur n’est pas concerné. La portabilité porte sur les données du client, les modèles entraînés sur ses données, et les configurations personnalisées.
Exigez des clauses de portabilité dès le contrat, privilégiez les formats standards, conservez des copies de vos données d’entraînement, et testez régulièrement les procédures d’export.
Oui, le Data Act (applicable dès septembre 2025) renforce le droit à la portabilité pour les données générées par les objets connectés et services numériques, y compris les systèmes IA.
1) Documenter la demande et le refus. 2) Saisir la CNIL (RGPD) ou l’autorité AI Act. 3) Envisager une action en justice. 4) Signaler à l’Autorité de la concurrence si pratique anticoncurrentielle.
🎯 Conclusion : Le Lock-In Est Mort
L’époque où les fournisseurs pouvaient emprisonner leurs clients est révolue.
Avec le cumul AI Act + RGPD + Data Act, refuser la portabilité est devenu un risque majeur. Les sanctions sont massives, et les clients sont de plus en plus informés de leurs droits.
- 1️⃣ Triple sanction — AI Act + RGPD + Data Act cumulables
- 2️⃣ Jusqu’à 30M€ ou 5,5% CA — Pour refus de portabilité
- 3️⃣ Data Act en sept. 2025 — Renforcement imminent des obligations
La deadline approche. Mettez en place la portabilité maintenant.
« La portabilité est le nouveau standard. Les fournisseurs qui l’offrent gagnent la confiance. Ceux qui la refusent perdent leurs clients — et leur argent. »
— Sophie Martin, Directrice Achats IT d’un groupe industriel
Maîtrisez la Conformité AI Act
Formation complète sur les obligations de portabilité, documentation technique, et stratégies anti-lock-in.
Découvrir la formation → 500€🔓 Portabilité • 📊 Data Act • ✅ Certificat inclus
📚 Sources Officielles Citées
- Règlement (UE) 2024/1689 – AI Act • Articles 11-13, 99 (Documentation)
- Règlement (UE) 2016/679 – RGPD • Article 20 (Droit à la portabilité)
- Règlement (UE) 2023/2854 – Data Act • Chapitre III (Portabilité des données)