Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les législations étatiques sont loin d'être unifiées, chaque juridiction adaptant traditionnellement sa législation aux besoins spécifiques de ses administrés. Cette approche fragmentée du droit est particulièrement criante dans le monde naissant de l'intelligence artificielle.

Des législateurs dans les 50 États signé 118 projets de loi relatifs à l'IA Ces lois seront adoptées cette année et s'ajouteront à celles déjà en vigueur. Elles ne représentent que 11 % des 1 080 lois que les assemblées législatives des États ont examinées en 2025.

Les lois adoptées s'élargissent également. Celle du Colorado, par exemple. CS 24-305 (entrant en vigueur le 30 juin de l'année prochaine) est le premier cadre général relatif aux droits des consommateurs en matière d'IA qui affecte les entreprises privées développant ou utilisant des « systèmes d'IA à haut risque » dans des domaines tels que l'emploi, les prêts, les soins de santé et les décisions en matière de logement.

Les différentes lois adoptent des approches différentes face à ce problème, ce qui accentue la complexité de la situation. Par exemple, la loi texane sur la gouvernance responsable de l'intelligence artificielle (TRAIGA), un autre cadre complet de protection des consommateurs en matière d'IA signé cette année, lie la responsabilité à l'intention, contrairement à l'approche du Colorado axée sur les résultats. La Californie, quant à elle, dispose de plusieurs lois, dont une qui porte sur… transparence des données d'entraînement.

L'alarme concernant la conformité retentit déjà pour les entreprises américaines. sept sur dix Les responsables informatiques placent désormais la conformité réglementaire parmi leurs trois principaux défis pour le déploiement de l'IA générative. Gartner (à l'origine des statistiques) estime que les infractions à la réglementation en matière d'IA entraîneront une augmentation de 30 % des litiges pour les entreprises technologiques. Si les entreprises ont conscience du risque, elles n'y sont pas pour autant préparées. Moins d'un quart d'entre elles se disent confiantes dans leur capacité à gérer efficacement la gouvernance de l'IA, selon le cabinet d'études de marché.

Les entreprises américaines ont l'habitude de se confronter à la réglementation, elles qui ont dû assimiler le RGPD (un peu comme un serpent avalant une chèvre) en 2018. Mais l'IA s'annonce encore plus problématique pour elles.

Le coup de maître de Trump avec son décret

Les dirigeants d'entreprise en difficulté pourraient trouver du réconfort dans le dernier message du président Trump. La semaine dernière, la Maison Blanche a publié un Décret cherchant à limiter la réglementation étatique de l'IA. Ce faisant, elle tente de tenir nombre des promesses formulées dans son Plan d'action IA, sorti en juillet.

Le dernier décret présidentiel nomme la procureure générale Pam Bondi à la tête d'un groupe de travail sur les litiges relatifs à l'IA, chargé d'identifier les lois étatiques qu'elle juge illégales. Le ministère du Commerce conditionnera ensuite les demandes de subventions au cadre réglementaire en vigueur dans chaque État.

Le décret vise à remplacer les réglementations étatiques que le procureur général désapprouve par un cadre juridique unique, qui sera élaboré par un conseiller spécial pour l'IA et les cryptomonnaies (poste actuellement occupé par l'ancien directeur des opérations de PayPal, David Sacks). La Commission fédérale des communications (FCC) étudiera également la possibilité de créer une norme fédérale unique pour la déclaration et la divulgation des modèles d'IA.

Cela pourrait rassurer certaines entreprises inquiètes de la complexité du droit étatique, mais en pratique, les experts juridiques ne croient pas que cette solution ait de l'avenir.

« Les agences fédérales comme le ministère de la Justice et la FTC ne peuvent empiéter sur les réglementations étatiques légales sans une délégation claire du Congrès. » écrit Olivier Sylvain, professeur de droit à l'université Fordham et chercheur principal en politiques publiques au Knight First Amendment Institute de l'université Columbia.

Le Congrès refuse de coopérer. En juillet, le Sénat a voté à une large majorité pour retirer du projet de loi un moratoire de dix ans sur l'application des lois étatiques relatives à l'IA. Plus récemment, les parlementaires ont refusé d'intégrer un tel moratoire à la loi d'autorisation de la défense nationale.

Les décrets présidentiels concernent le gouvernement, et non le secteur privé ; c’est pourquoi le dernier document tente d’instrumentaliser le pouvoir exécutif pour contrer les actions en justice intentées par les États. Toutefois, « sans aucune loi qui aborde la question de la réglementation de l’IA par les États, et encore moins qui la préempte, une attaque du ministère de la Justice ou de la FTC contre les États serait vouée à l’échec », a ajouté Sylvain.

Les risques liés au déploiement non conforme de l'IA

Dans cette optique, les entreprises auraient tout intérêt à planifier leur conformité à long terme avec la réglementation étatique en matière d'IA. Pour ce faire, trois questions devraient désormais être systématiquement posées lors des discussions des conseils d'administration sur l'IA : Qui est responsable des décisions relatives à l'IA ? Comment les risques sont-ils évalués ? Et que se passe-t-il en cas de défaillance des modèles ? Or, ce n'est pas le cas. Seuls 49 % des conseils d'administration ont évalué l'IA et les risques associés. selon l'Association nationale des administrateurs de sociétés.

Les dangers liés à la non-évaluation des risques sont multiples. Le plus important, et de loin, selon McKinseyL'imprécision est un problème majeur, rencontré au moins une fois par 30 % des entreprises dans leurs projets d'IA. En 2024, Air Canada a dû verser des dommages et intérêts suite à un dysfonctionnement de son chatbot. réductions pour deuil inventéesmais ces dommages sont insignifiants comparés aux dégâts causés à la réputation.

En deuxième position sur la liste de McKinsey figure l'explicabilité, un problème qui a touché 14 % des entreprises ayant déployé des solutions d'IA en conditions réelles. Ne pas expliquer pourquoi votre modèle a refusé un prêt pourrait vous valoir de sérieux ennuis avec les autorités de réglementation. Parmi les autres risques figurent les atteintes à la vie privée et les failles de cybersécurité, qui peuvent chacune entraîner des répercussions réglementaires.

Les entreprises n'ont pas besoin de chercher bien loin pour trouver des exemples de déploiements d'IA qui ont mal tourné. Un service de développement logiciel basé sur l'IA. suppression de la base de données de production d'une personne, par exemple. Mais le plus troublant de tous fut peut-être le scandale concernant l'administration fiscale néerlandaise mauvaise utilisation de l'IA prendre des décisions concernant les prestations sociales qui auront un impact sur la vie.

La norme ISO/IEC 42001 offre un cadre de référence pour la conformité à l'IA

En ces temps instables, où le cadre réglementaire de l'IA est loin d'être uniforme, il est judicieux de se tourner vers des normes bien établies comme ISO / IEC 42001 Contribue à l'adoption de bonnes pratiques uniformes. Publiée en décembre 2023, cette norme internationale pour les systèmes de gestion de l'IA permet aux organisations envisageant des déploiements d'IA d'évaluer les risques et les impacts. C'est un outil de gouvernance de l'IA applicable dans plusieurs juridictions.

Les entreprises peuvent contribuer à l'élaboration et au maintien de bonnes pratiques robustes en matière d'IA en intégrant des mesures de conformité à leur structure organisationnelle. Par exemple, il est conseillé de désigner un membre de l'équipe conformité chargé de superviser les mesures de conformité spécifiques à l'IA, conformément à la norme ISO 42001, et d'intégrer des évaluations régulières des risques aux processus de développement, de déploiement et d'utilisation de l'IA.

Face à un océan tumultueux de lois étatiques et à des priorités d'application fédérales changeantes qui mettent à l'épreuve les limites légales de la réglementation, la norme ISO 42001 est une bouée de sauvetage à laquelle les services de conformité des entreprises peuvent s'accrocher.