Fusions et acquisitions visant des entreprises d’IA : points à considérer dans le cadre de la vérification diligente

L’intelligence artificielle (IA) est devenue un impératif stratégique pour les organisations en quête d’un avantage concurrentiel, ce qui a entraîné un déferlement d’opérations de fusion et d’acquisition visant des entreprises d’IA. En 2023, les entreprises d’IA ont compté pour 15 % de tous les financements par capital de risque [PDF], ce qui souligne l’intérêt considérable des investisseurs pour ce secteur. Cette croissance et ces investissements rapides dans les technologies d’IA ont attiré l’attention des autorités de réglementation, qui s’efforcent de suivre le rythme.

Le gouvernement canadien a pris des mesures pour réglementer la gouvernance de l’IA en proposant une Loi sur l’intelligence artificielle et les données (LIAD) dans la partie 3 du projet de loi C-27. Ce projet de loi vise à établir un cadre national solide pour la réglementation de l’IA, en mettant l’accent sur l’innovation et la protection des droits individuels. Le Comité permanent de l’industrie et de la technologie a interrompu son étude du projet de loi C-27 et a l’intention de poursuivre son examen article par article à partir du 16 septembre 2024. Pour combler les lacunes actuelles et jusqu’à l’entrée en vigueur de la LIAD, Innovation, Sciences et Développement économique Canada a mis en place un Code de conduite volontaire visant un développement responsable de systèmes d’IA générative avancés.

Aux États-Unis, la réglementation de l’IA au niveau fédéral a suscité un intérêt similaire. La Maison-Blanche a démontré cet intérêt en publiant un projet de charte des droits de l’IA non contraignant en octobre 2022. En outre, en mai 2024, le Conseil de l’Union européenne a renforcé ses efforts de réglementation en approuvant la Législation sur l’IA. Cette législation s’appuie sur le Règlement général sur la protection des données existant et introduit une approche globale et fondée sur les risques de la gouvernance de l’IA au sein du bloc économique. Au-delà de ces efforts régionaux et continentaux, des normes internationales telles que l’ISO/IEC 42001 fournissent des lignes directrices pour des systèmes de gestion de l’IA normalisés, garantissant l’uniformité et la cohérence de la gouvernance de l’IA à l’échelle mondiale.

Ces progrès variés et rapides dans les domaines de la réglementation, du financement et de la technologie soulignent la complexité croissante des opérations de fusion et d’acquisition visant des entreprises d’IA, un sujet récemment exploré en profondeur par les associés d’Osler Sam Ip (technologie) et Sophie Amyot (droit des sociétés) dans leur webinaire sur les questions clés à aborder dans le cadre des opérations de fusion et d’acquisition visant des entreprises d’IA.

Qu’est-ce qu’une entreprise d’IA?

Pour que le processus de vérification diligente soit efficace en matière d’IA, il faut d’abord déterminer si on a affaire à une entreprise d’IA ou à un éditeur de logiciels traditionnel. Les entreprises d’IA créent des produits et des services au moyen de l’IA, de l’apprentissage automatique et de l’analyse de données, tandis que les éditeurs de logiciels traditionnels ont tendance à développer leurs logiciels au moyen de paradigmes de programmation établis, leur usage des technologies d’IA étant secondaire. Les unes et les autres se distinguent par la technologie qu’elles utilisent principalement et leur modèle d’affaires.

Les entreprises d’IA ont recours à l’apprentissage automatique, un sous-ensemble de l’IA, qui fait appel à des algorithmes et à des techniques d’autoapprentissage permettant aux ordinateurs d’améliorer leur performance grâce à l’expérience. Les algorithmes en question apprennent à partir de données, identifient des modèles et prennent des décisions qui nécessitent une intervention humaine minimale. Au fil du temps, ce processus itératif améliore l’efficience et la rentabilité de diverses applications. Cependant, l’apprentissage automatique présente des risques uniques qui nécessitent un examen attentif. Par exemple, il y a le risque que, se fondant sur des données d’entraînement biaisées, l’IA soit également biaisée et produise des résultats injustes, ou le risque que les modèles d’IA soient inexacts en raison également de la qualité des données d’entraînement.

Compte tenu de ces caractéristiques particulières – et d’un paysage réglementaire en évolution rapide –, les méthodes auxquelles on a traditionnellement recours pour évaluer des logiciels dans le cadre d’une opération de fusion et d’acquisition ne permettent pas d’évaluer l’ensemble de la valeur, des risques et des occasions qu’une entreprise d’IA présente, de sorte que, pour ce qui est de la vérification diligente, il faut avoir recours à une approche différente selon que l’on a affaire à une entreprise d’IA ou à un éditeur de logiciels traditionnel.

Délimitation de la vérification diligente : principales différences des fusions et acquisitions visant une entreprise d’IA

Lors de l’acquisition d’une entreprise technologique, le processus de vérification diligente diffère selon que la cible est un éditeur de logiciels traditionnel ou une entreprise d’IA. En règle générale, si la cible est un éditeur de logiciels traditionnel, la vérification diligente portera essentiellement sur l’évaluation du code source, l’accent étant surtout mis sur des considérations telles que la fonctionnalité, la performance et l’expérience de l’utilisateur. En revanche, si la cible est une entreprise d’IA, la vérification diligente nécessitera un examen parallèle et complet des processus dorsaux touchant les données, y compris l’approvisionnement, la manipulation, l’entraînement et l’utilisation. Les systèmes d’IA sont souvent les joyaux de la couronne numériques d’une entreprise d’IA, et l’évaluation de leurs modèles peut nécessiter, en matière de vérification diligente, une approche différente axée sur les points suivants :

• La qualité et la conformité des données. Évaluer les données utilisées pour entraîner, affiner et tester les modèles et algorithmes d’IA, en s’assurant qu’elles sont de haute qualité, obtenues légalement et conformes à la réglementation, notamment en matière de protection de la vie privée.

• Les modèles d’IA de base et la technologie connexe. Évaluer les modèles d’IA qui sous-tendent les principaux produits et services de l’entreprise, y compris la technologie connexe permettant de fournir ces modèles de manière efficace.
• L’infrastructure d’IA et de calcul. Examiner l’infrastructure d’IA et de calcul de l’entreprise cible, y compris sa capacité à prendre en charge la mise à l’échelle des activités de l’entreprise cible.
• Le cadre de gouvernance de l’IA. Examiner le cadre de gouvernance de l’IA de l’entreprise cible tout au long du cycle de vie de l’IA, y compris ses processus de développement, de déploiement et d’utilisation responsables de l’IA, et d’atténuation des risques connexes, tels que ceux liés à l’exactitude, à la partialité et à la transparence.
• L’approche en matière de développement. Examiner l’approche de l’entreprise cible en matière de développement de produits et de services liés à l’IA, y compris les pratiques et les méthodes qu’elle emploie.
• Le personnel clé affecté au développement de l’IA. Évaluer l’expertise et les stratégies de fidélisation du personnel clé affecté au développement de l’IA de la cible, en particulier des membres qui occupent des fonctions critiques, notamment les relations que ces membres peuvent entretenir avec d’autres institutions et organisations tierces (par exemple, des universités ou des instituts de recherche qui se spécialisent dans l’IA).

Domaines de risque courants associés aux entreprises d’IA

Au cours de la vérification diligente, il est essentiel de repérer les risques courants associés aux technologies d’IA. Même si, selon le contexte propre à l’entreprise, d’autres risques peuvent surgir, les domaines de risque les plus courants sont les suivants :

• La propriété des modèles. Il peut y avoir de l’incertitude quant à la propriété exclusive de l’entreprise cible sur les modèles d’IA, les algorithmes et la technologie connexe.
• Les droits et l’autorité en matière de données. L’entreprise cible peut ne pas disposer des droits nécessaires ou de l’autorité légale voulue pour entraîner, tester, développer ou déployer ses modèles d’IA, souvent parce qu’elle n’a pas conclu les accords nécessaires pour utiliser ces données.
• La dépendance à l’égard des modèles fondamentaux. L’entreprise cible peut s’appuyer sur des modèles fondamentaux sans disposer des droits d’utilisation nécessaires dans le cadre de ses activités ou de ses produits (par exemple, si elle utilise le modèle LLaMa, elle peut dépasser les limites d’utilisation prévues par la licence communautaire).
• Les risques liés aux logiciels libres. L’utilisation par l’entreprise cible de logiciels d’IA, de données ou de modèles ouverts est soumise à des licences virales et grève la propriété de l’entreprise sur ses modèles d’IA, ses algorithmes et la technologie connexe.
• Les applications d’IA à haut risque. L’utilisation de l’IA par l’entreprise cible dans un domaine à haut risque peut manquer de processus de validation robustes, y compris de supervision humaine, permettant de vérifier l’exactitude des résultats de l’IA.
• Les méthodes de développement inadéquates. L’entreprise cible peut recourir à des méthodes de développement inadéquates en matière d’IA, notamment des méthodes dépourvues de cadres de responsabilité, de stratégies d’atténuation des risques et de mesures d’explication.
• Le non-respect de la réglementation. L’entreprise cible peut ne pas respecter la réglementation à venir en matière d’IA ou ne pas être prête à la respecter.

En se concentrant sur ces domaines de risque, les acquéreurs peuvent mieux atténuer les problèmes éventuels et mieux comprendre la valeur réelle de leur investissement et les enjeux qu’il soulève.

Conclusion

Compte tenu des caractéristiques uniques de l’apprentissage automatique et des risques qui y sont inhérents, il est essentiel d’effectuer la vérification diligente préalable à une fusion ou à une acquisition suivant une approche spécialisée, qui va au-delà des méthodes traditionnelles d’évaluation des logiciels. Les acquéreurs doivent se concentrer sur des domaines critiques tels que l’intégrité des données, la robustesse des modèles, le caractère éthique des processus de conception et l’expertise du personnel spécialisé afin de mieux évaluer la valeur des entreprises d’IA et les risques auxquels elles sont exposées. Les vendeurs, quant à eux, doivent être prêts à démontrer la robustesse et le caractère éthique de leurs systèmes d’IA afin d’attirer et de s’attacher les acheteurs potentiels.

Alors que le paysage réglementaire continue d’évoluer, il est essentiel d’examiner comment les aspects distinctifs des entreprises d’IA peuvent se répercuter sur la structure des opérations et les protections contractuelles. Cela concerne non seulement la vérification diligente, mais aussi les éléments clés de l’opération, tels que les déclarations et garanties, les clauses d’indemnisation, les conditions de clôture et les engagements postérieurs à la clôture. En tenant compte de ces facteurs, les acquéreurs peuvent jouir de protections efficaces et tirer parti des avantages offerts par l’acquisition d’une entreprise d’IA.