Opérations liées à l’IA : pourquoi les mécanismes traditionnels ne conviennent pas et comment les adapter Opérations liées à l’IA : pourquoi les mécanismes traditionnels ne conviennent pas et comment les adapter

En douze mois, l’intelligence artificielle est passée d’un point à considérer dans le cadre de la vérification diligente à un élément central de la thèse d’investissement et de l’évaluation des opérations technologiques. Ce changement ne concerne pas seulement les opérations visant des entreprises bâties sur l’IA. De plus en plus, même lorsque la cible n’est pas commercialisée comme une entreprise d’IA, ses produits, ses services et ses flux de travail internes intègrent de l’IA. Les données du marché reflètent cette tendance : de plus en plus, les opérations technologiques comportent une composante IA qui, souvent, est intégrée dans les activités de base de la cible et la proposition de valeur de l’opération. En conséquence, le cœur de ce qui est acheté et vendu dans les opérations technologiques est en train de changer.

Dans le présent bulletin d’actualités, nous appuyant sur des bulletins précédents traitant de la vérification diligente et des déclarations et garanties adaptées à l’IA, nous explorons les questions que nous avons abordées avec nos clients de façon récurrente au cours de la dernière année et exposons les raisons pour lesquelles les mécanismes traditionnels des opérations ne permettent souvent pas de mettre en évidence les risques les plus importants liés à l’IA et en quoi il faut les adapter.

1. Pourquoi les mécanismes traditionnels des opérations ne conviennent-ils pas lorsque l’IA est au cœur de la proposition de valeur?

Les mécanismes traditionnels des opérations sont conçus pour évaluer des actifs largement statiques et la conformité historique, et supposent que l’on peut repérer les risques au moyen d’une vérification diligente, de confirmations de propriété et de déclarations ponctuelles. La nature des systèmes d’IA met ce modèle à rude épreuve. 

Dans le cas des opérations technologiques, on a toujours axé la vérification diligente sur la propriété des droits de propriété intellectuelle, la validité des licences et la légitimité des collectes de données. Cependant, les actifs, le personnel et la chaîne d’approvisionnement commerciale qui sous-tendent les systèmes d’IA sont souvent plus complexes et dynamiques. La confirmation de la propriété seule est insuffisante, car les systèmes d’IA s’appuient souvent sur des données sous licence, des modèles de tiers, des composants de code source libre et des autorisations de déploiement en constante évolution, ainsi que sur du personnel dont la spécialisation dépasse celle des développeurs de logiciels traditionnels, notamment des experts en mégadonnées et des personnes chargées du contrôle continu et de la surveillance humaine.

De même, les résultats des systèmes d’IA sont probabilistes et dépendent du contexte. Certains des risques liés à l’IA qu’il y a lieu de noter peuvent découler des résultats : décisions discriminatoires ou biaisées, recommandations dangereuses ou inexactes, ou résultats qui ne répondent pas aux normes réglementaires particulières du secteur en cause. Ces risques n’apparaissent souvent qu’une fois que les systèmes sont déployés, mis à l’échelle ou intégrés dans de nouveaux contextes après la clôture, car les systèmes d’IA peuvent changer de comportement lorsqu’ils sont déployés dans de nouveaux contextes. Les déclarations et garanties traditionnelles sont calibrées pour évaluer la non-conformité historique, et non les résultats futurs, et ne peuvent fournir qu’une assurance limitée quant au rendement futur des systèmes ou à leur utilisation après la clôture.

Pour pallier les lacunes des mécanismes traditionnels des opérations, les acheteurs ne se fient pas uniquement à la vérification diligente juridique. Ils évaluent de plus en plus les systèmes d’IA dans des environnements contrôlés, ce qui leur permet d’évaluer le comportement et le rendement des systèmes dans des conditions contrôlées. Il s’agit en fait d’une dynamique de type « essai avant achat », dans laquelle les acheteurs cherchent à valider le comportement des systèmes d’IA avant la clôture. 

2. Quels sont les risques liés à l’IA qui apparaissent généralement après la clôture et comment l’équipe chargée de l’opération doit-elle les anticiper?

Les risques liés à l’IA peuvent se concrétiser après la clôture, même si tout semblait « normal » au moment de la clôture. En effet, les systèmes d’IA sont souvent déployés après la clôture dans des contextes étendus ou différents, par exemple auprès de nouveaux clients, dans de nouvelles zones géographiques ou relativement à des fonctions décisionnelles différentes. Souvent, les systèmes d’IA visés par l’opération ont été élaborés et validés par rapport aux cas d’utilisation, aux données et à l’environnement opérationnel historiques de la cible, bien que la thèse d’investissement de l’acheteur puisse prévoir des applications sensiblement différentes après la clôture. Ces changements dans l’application du modèle peuvent créer des risques juridiques, réglementaires ou particuliers à certains cas d’utilisation qui n’avaient pas été relevés au moment de l’opération.

Il arrive souvent dans la pratique que l’acheteur découvre après la clôture qu’il ne dispose pas des droits sur les données dont il a besoin pour mettre en œuvre le système d’IA comme le prévoyait la thèse d’investissement. Un tel problème peut surgir lorsque les licences, les consentements (en particulier dans les cas où des renseignements personnels sont en jeu) ou les pratiques de collecte des données s’étendent à l’utilisation du système d’IA qu’en faisait la cible, mais ne s’étendent pas aux cas d’utilisation, aux clients ou aux zones géographiques envisagés par l’acheteur après la clôture. Dans certains cas, les consentements relatifs aux renseignements personnels sont trop restrictifs ou, dans d’autres cas, les ensembles de données concédés sous licence ne permettent pas le réentraînement, l’extension ou les applications à de nouveaux scénarios. Cela est particulièrement pertinent lorsque les ensembles de données concédés sous licence et soumis à des restrictions d’utilisation sont les ensembles de données clés. Les restrictions de ce genre peuvent être anticipées grâce à une vérification diligente appropriée, dans le cadre de laquelle on posera notamment des questions sur les données, leur provenance et les droits d’utilisation tout au long de l’opération.

Dans le cadre de la vérification diligente, l’équipe chargée de l’opération devrait envisager de se référer aux normes en constante évolution en matière d’IA, telles que les engagements à se conformer aux principaux cadres (par exemple, le cadre de gestion des risques liés à l’IA du NIST ou la norme ISO/IEC 42001), afin d’évaluer si la cible adopte une approche cohérente en matière de gouvernance de l’IA, de contrôle des modèles et de surveillance humaine. Si, dans le cadre de la vérification diligente, elle décèle des lacunes, elle peut se servir de ces cadres comme base pour élaborer des déclarations ciblées ou des mesures correctives à prendre après la clôture, afin d’atténuer le risque que les modèles d’IA deviennent inexacts ou biaisés et de s’aligner sur les pratiques exemplaires du secteur.

3. Dans le cadre d’une opération axée sur l’IA, quels sont les actifs liés à l’IA que l’acheteur doit envisager de contrôler?

Dans le cadre d’une opération axée sur l’IA, l’étendue des droits sur les données, les modèles et l’expertise importe souvent plus que la propriété formelle. Un acheteur risque donc d’acquérir la propriété d’une cible sans obtenir les droits dont il a besoin pour mettre à l’échelle ou adapter les systèmes d’IA d’une manière cohérente avec sa thèse d’investissement. Les principaux domaines de droits et de contrôle sont les suivants :

• les droits d’accès aux données et aux flux de données futurs. Relativement aux ensembles de données, l’acheteur obtient souvent, non pas le titre de propriété, mais une licence d’utilisation comportant des restrictions en matière de conservation, de réentraînement, d’expansion géographique ou d’affectation à de nouveaux cas d’utilisation. S’il souhaite étendre l’utilisation du système d’IA à de nouveaux produits, clients ou territoires, l’acheteur doit en tenir compte au moment de l’évaluation de la portée et de la transférabilité de la licence.
• les droits sur les dépendances de tiers. Les systèmes d’IA s’appuient souvent sur diverses composantes externes, notamment des interfaces API, des modèles préalablement entraînés ou des bibliothèques de codes sources libres. L’acheteur doit s’assurer d’obtenir les droits devant lui permettre de continuer à utiliser, à modifier et à mettre à l’échelle ces dépendances après la clôture, et d’avoir une visibilité sur les obligations déclenchées par la mise à l’échelle ou la modification du système d’IA.
• le maintien en poste et la disponibilité du personnel clé et de l’expertise. Les systèmes d’IA dépendent souvent d’un personnel spécialisé dont l’expertise n’est pas entièrement consignée dans la documentation ou le code. En outre, les normes prévues par la réglementation et les pratiques exemplaires en constante évolution considèrent la supervision humaine comme faisant partie intégrante d’une utilisation responsable de l’IA. L’acheteur doit contrôler les talents techniques clés et s’assurer du transfert du savoir-faire opérationnel, car la perte de personnel clé peut non seulement nuire au rendement du système, mais aussi créer des problèmes de conformité.

Compte tenu de ces facteurs, les risques liés à l’IA après la clôture se rapportent de plus en plus à la capacité de l’acheteur à obtenir les droits, l’expertise et le contrôle opérationnel dont il a besoin pour exploiter le système d’IA et le mettre à l’échelle après la clôture.

4. En ce qui concerne la gestion des risques liés à l’IA, comment la structure et les conditions des opérations évoluent-elles? 

Comme nous l’avons vu, les risques liés à l’IA apparaissent souvent au moment de l’utilisation, de la mise à l’échelle et de la modification du système d’IA après la clôture. Par conséquent, la structure et les conditions des opérations évoluent pour tenir compte de ces risques particuliers.

Pour ce qui est de leur structure, les opérations évoluent d’une logique de sortie à un moment précis et de façon instantanée vers une répartition des risques fondée sur l’écoulement du temps, car de nombreux risques liés à l’IA sont prospectifs et ne peuvent pas être entièrement pris en compte par les structures traditionnelles. Les structures les plus courantes comprennent les suivantes :

• les opérations d’acquisition de savoirs et les opérations hybrides où la valeur fondamentale est concentrée dans les talents
• les clauses de contrepartie conditionnelle liées à l’utilisation, à l’adoption des flux de travail, à la qualité des résultats ou à la stabilité des marges plutôt qu’au chiffre d’affaires
• les partenariats ou les contrats de licence échelonnés servant d’étapes de validation avant l’acquisition intégrale
• les ventes d’actifs ou les scissions partielles comme moyen d’isoler les modèles et les pipelines de données tout en évitant les passifs hérités

Le choix de la structure influe considérablement sur les risques liés à l’IA et sa complexité après la clôture. Dans le cadre d’une vente d’actions, l’acheteur acquiert généralement les droits, les licences et les contrats relatifs aux données existants de la cible en tant qu’entreprise en exploitation. Si cela peut simplifier la continuité, cela peut également vouloir dire hériter de restrictions ou de limitations de consentement qui affectent la manière dont les systèmes d’IA peuvent être utilisés ou mis à l’échelle après la clôture. En revanche, les ventes d’actifs et les scissions partielles nécessitent souvent la cession ou la renégociation explicite des licences relatives aux données, des conventions d’accès aux interfaces API et des dépendances de tiers à des modèles, et peuvent déclencher des clauses de changement de contrôle ou des exigences de consentement qui pourraient limiter la capacité de l’acheteur à continuer d’exploiter le système d’IA sous sa forme actuelle. En outre, de telles opérations nécessitent souvent des conventions de services de transition prévoyant le traitement des données, des infrastructures ou du personnel partagés qui restent chez la cible mais qui sont essentiels au fonctionnement du système d’IA acquis.

Étant donné que les systèmes d’IA dépendent souvent de flux de données continus, de talents spécialisés et de dépendances externes qui peuvent ne pas être transférés de manière transparente, l’équipe chargée de l’opération doit évaluer avec soin l’incidence de la structure choisie sur la portée et la durée des services de transition, ainsi que le risque que les environnements de données partagées ou les accords relatifs au personnel puissent nuire à la capacité de l’acheteur de déployer, de surveiller ou de réentraîner le système d’IA d’une manière conforme à la thèse d’investissement.

Au-delà de la structure, les conditions des opérations incluent de plus en plus souvent des questions de vérification diligente ainsi que des déclarations et des garanties propres à l’IA. Ces déclarations et garanties, qui ont souvent des périodes de maintien prolongées et des plafonds d’indemnisation supérieurs, peuvent aider à gérer les risques liés à l’IA après la clôture et peuvent traiter des droits d’utilisation des données, des utilisations autorisées de ces données et de l’absence de dépendances ou de restrictions de tiers non divulguées qui limiteraient le déploiement ou la mise à l’échelle du système d’IA après la clôture. En matière d’IA, le marché a tendance à privilégier les déclarations et les vérifications diligentes exhaustives qui tendent à traiter toutes les questions imaginables liées à l’IA. D’après notre expérience, cependant, cette approche ajoute souvent des coûts et des frictions sans atténuer les risques de manière significative. Une approche adaptée aux cas d’utilisation est essentielle si l’on souhaite éviter les retards et les coûts inutiles tout en traitant les risques liés à l’IA qui sont plus susceptibles d’avoir une incidence significative sur la valeur.

Enfin, les parties doivent être conscientes que l’assurance déclarations et garanties est souvent peu adaptée à la couverture des risques prospectifs liés à l’utilisation de l’IA. Si une telle assurance peut couvrir les pertes résultant de violations de déclarations factuelles bien rédigées, d’ordinaire elle ne couvre pas les risques postérieurs à la clôture, tels que le rendement des modèles, les dérives ou les choix de déploiement dictés par l’acheteur.

5. Dans le cas d’une opération liée à l’IA, à quoi devrait ressembler la stratégie du conseil d’administration et de l’équipe chargée de l’opération?

Dans la pratique, l’acheteur devrait commencer par établir sa thèse d’investissement et évaluer si et dans quelle mesure l’IA est importante par rapport à la valeur de l’opération. Une telle évaluation permet de déterminer si l’opération doit être abordée comme une opération centrée sur l’IA, avant de plonger dans une vérification diligente détaillée ou de déterminer la structure et les conditions de l’opération. Dans certains cas, cela peut vouloir dire d’effectuer une vérification diligente préliminaire de portée limitée, qui permettra d’évaluer si les éléments fondamentaux sont viables (p. ex., si l’entreprise dispose des droits sur les données dont elle a besoin pour soutenir le cas d’utilisation prévu), avant de s’engager dans une vérification diligente en bonne et due forme.

De l’autre côté, le conseil d’administration et les investisseurs du vendeur doivent considérer les risques liés à l’IA comme un enjeu de sortie, et pas seulement comme un enjeu opérationnel. Le conseil d’administration et l’équipe chargée de l’opération doivent s’accorder dès le début sur le niveau de risque jugé acceptable relativement aux clauses de contrepartie conditionnelle, sur leurs attentes en matière de maintien en poste des fondateurs et de l’équipe de direction, et sur leurs engagements continus en matière de gouvernance, et préparer les investisseurs à une réalisation différée de la valeur et à des mécanismes de sortie non traditionnels.

Lorsque l’IA est au cœur de la valeur d’une opération, le conseil d’administration doit s’attendre à ce que les considérations liées à l’IA passent à l’avant-plan dans l’approbation de l’opération et veiller à ce que l’expertise technique, juridique et opérationnelle appropriée éclaire la prise de décision. Le conseil d’administration et l’équipe chargée de l’opération doivent également prévoir les mesures de surveillance et de gouvernance à mettre en œuvre après la clôture à titre de mesures inhérentes à l’opération dans son ensemble, plutôt que de les traiter comme un élément accessoire. En fin de compte, l’objectif du conseil d’administration et de l’équipe chargée de l’opération n’est pas d’éliminer tous les risques soulevés par une opération centrée sur l’IA, mais de repérer, de répartir et de gérer les risques liés à l’IA qui sont proportionnels non seulement au rôle que joue l’IA dans la thèse d’investissement, mais aussi à l’échelle et au déploiement prévus de l’IA après la clôture, et ce tout au long de son cycle de vie.