Un fonds qui acquiert une cible active dans l’intelligence artificielle (IA) sans auditer ses données et sa surface d’attaque cyber s’expose à des passifs que la documentation contractuelle standard ne couvre pas.

En 2025, près de la moitié des transactions technologiques comportaient une composante IA et un acquéreur sur cinq déclare avoir déjà renoncé à une transaction en raison de l’impact anticipé de l’IA sur le business model de la cible. L’IA et la cybersécurité sont devenues le cœur de la due diligence.

Une due diligence approfondie

L’audit couvre désormais la chaîne de titularité des modèles entraînés, la licéité des datasets, l’intégrité de l’architecture cybersécurité et la robustesse des modèles en conditions réelles. Sur le volet cyber, l’audit cartographie la surface d’attaque, les politiques de gestion des incidents, les tests de pénétration et les certifications (ISO 27001, SOC 2).

La maturité technologique réelle d’une cible «IA-native» peut varier considérablement, de l’ingénierie de requêtes (prompt engineering) basique à l’infrastructure de modèles en production. L’évaluation doit systématiquement faire appel à des experts techniques indépendants, sans se fier aux seuls benchmarks fournis par le management du vendeur.

Un arsenal réglementaire qui redessine les passifs

Sur le plan réglementaire, les opérations impliquant des actifs IA ou numériques s’inscrivent dans un paysage de risques en pleine consolidation. Le règlement européen sur l’intelligence artificielle (AI Act) expose toute entité déployant des systèmes d’IA sur le marché européen à des sanctions pouvant atteindre 35 millions d’euros ou 7% du chiffre d’affaires mondial.

La directive sur la sécurité des réseaux et des systèmes d’information (Directive NIS2 ou SRI2) superpose des obligations de gestion des risques cyber et de notification sous 24 heures, avec responsabilité personnelle des dirigeants. Ces deux régimes partagent une même logique : des manquements précédant la réalisation de l’opération (pré-closing) susceptibles de générer des passifs transférables à l’acquéreur via les déclarations et garanties.

Le règlement sur la cyber-résilience (Cyber Resilience Act) contraint les fabricants de produits numériques à intégrer la sécurité dès la conception, tandis que le règlement sur les données (Data Act) recompose les modèles économiques fondés sur la monétisation de données connectées. Le règlement sur la protection des données personnelles (RGPD) reste, quant à lui, le premier vecteur de passifs hérités transférables à l’acquéreur.

A lire aussi: La maîtrise du risque cyber passe par un dialogue de confiance entre RSSI et conseil

Une valorisation à repenser

Au-delà des trois piliers classiques - données propriétaires, modèles entraînés, capital humain - l’audit juridique doit identifier cinq risques susceptibles d’affecter matériellement la valeur d’entreprise :

- les clauses de changement de contrôle dans les contrats d’hébergement à distance ( ou cloud), pouvant entraîner la perte d’actifs opérationnels critiques à la réalisation de l’opération (closing) ;

- l’incertitude sur la titularité des droits de propriété intellectuelle sur les résultats (outputs) des modèles ;

- le risque réputationnel algorithmique, appelant des mécanismes d’indemnisation distincts ;

- les engagements de niveau de service (SLA ou Service Level Agreements) indexés sur la performance IA, à intégrer dans les mécanismes de complément de prix (earnout) ;

- le risque de désintermédiation pour les intégrateurs de modèles tiers.

Ces risques justifient l’insertion d’engagements spécifiques, de tests de résilience et de garanties spécifiques entre la signature et la réalisation de l’opération.

Les passifs cachés

Cinq risques sont systématiquement sous-estimés :

- la disruption sectorielle rapide par un concurrent ou une décision réglementaire ;

- la sous-performance des modèles hors laboratoire ;

- les passifs RGPD hérités, des autorités ayant déjà sanctionné des acquéreurs pour des manquements antérieurs à l’opération ;

- les exclusions assurantielles croissantes dans les polices d’assurance de garantie de passif (RWI ou Representations and Warranties Insurance) sur la provenance des données et la performance des modèles ;

- le renforcement du contrôle des concentrations sur les transactions impliquant des données critiques.

Des clauses contractuelles sur mesure

La documentation doit prévoir : des compléments de prix (earnouts) indexés sur des indicateurs clés de performance (KPI) IA en production ; un compte séquestre technologique (escrow) couvrant sous-performance et incidents cyber post-réalisation ; des garanties distinctes (propriété intellectuelle, données, cybersécurité) avec plafonds et durées différenciés ; et des engagements interdisant toute modification des données d’entraînement ou des politiques IA entre la signature et la réalisation de l’opération sans consentement de l’acquéreur.

Les fonds en première ligne

Les fonds manipulent en permanence des données hautement confidentielles (informations sur les cibles, valorisations, stratégies d’acquisition) dont la protection relève des standards de la directive sur la sécurité des réseaux et des systèmes d’information (Directive NIS2), et le recours à des outils IA tiers crée des vecteurs d’exposition que peu de fonds ont sécurisés.

Après la réalisation de l’opération, l’intégration d’une société élargit mécaniquement la surface d’attaque. La cybersécurité s’impose comme critère clé : investisseurs et agences de notation font désormais de la maturité cyber un critère d’évaluation à part entière. Un portefeuille exposé à des incidents répétés dégrade le fundraising et les multiples de sortie. L’IA et la cybersécurité sont désormais des déterminants de valeur et de gouvernance à chaque stade du cycle d’investissement.