Ce que signifie le plan d'action américain sur l'IA

La Maison Blanche a dévoilé en juillet un vaste plan d'action sur l'IA, qui redéfinit l'approche américaine en matière de gouvernance de l'IA. Il s'agit d'un tournant majeur par rapport à la position de l'administration précédente, qui lève les freins réglementaires et promeut une approche résolument tournée vers l'avenir du développement et de la mise en œuvre de l'IA.

Cela crée à la fois des opportunités et des risques pour les organisations. Un déploiement plus rapide se fait au détriment d'une surveillance fédérale réduite, obligeant les entreprises à combler elles-mêmes les lacunes critiques en matière de gouvernance. Examinons ce qui nous attend.

Trois piliers du plan

Trump Plan d'action IA Ce rapport décrit une initiative fédérale coordonnée visant à remporter la course aux armements en matière d'IA face à ses concurrents mondiaux, notamment la Chine. Ses recommandations couvrent toutes les grandes agences fédérales, des normes révisées du Département du Commerce aux initiatives de guerre en matière d'IA du Pentagone. Voici comment chaque pilier remodèle le paysage.

Pilier I : Accélérer l'innovation en matière d'IA

Ce pilier cible les obstacles réglementaires au développement de l'IA dans le secteur privé. L'Office of Science and Technology Policy et l'Office of Management and Budget (OMB) identifieront et abrogeront les règles restrictives. Les États sont particulièrement scrutés, car l'OMB évalue leur environnement réglementaire en matière d'IA lors de ses décisions de financement, ce qui pourrait détourner les fonds fédéraux des États disposant de trop de garde-fous.

Du côté positif, le plan promeut également les modèles open source et open-weight, reconnaissant leur valeur pour les startups et les chercheurs qui ne peuvent pas se permettre des systèmes commerciaux fermés.

Pilier II : Construire une infrastructure d’IA américaine

Décrit par le Président comme le volet « construire bébé, construire » du plan, ce pilier se concentre fortement sur les exigences physiques qui sous-tendent l'IA : les centres de données, la fabrication de semi-conducteurs et l'énergie. Les constructeurs de centres de données bénéficient d'exemptions de permis de construire, de la réduction ou de la suppression des évaluations environnementales et de la suppression des réglementations prévues par la loi sur la qualité de l'air et la loi sur la qualité de l'eau.

Le plan ouvre des terres fédérales au développement de centres de données et de leurs installations de production d'électricité, tout en promettant un réseau électrique moderne pour satisfaire la soif d'électrons de l'IA (l'énergie nucléaire et géothermique est fortement évoquée). Tous ces centres de données nécessiteront de nombreux électriciens, experts en CVC et autres postes techniques en infrastructures ; le plan prévoit donc des programmes de formation pour renforcer ces effectifs.

Pilier III : Diplomatie internationale en matière d'IA

Comment un gouvernement isolationniste mène-t-il sa diplomatie ? Avec un système de type « avec nous ou contre nous ». Le plan présente le développement de l'IA comme un jeu à somme nulle entre les membres d'une « Alliance de l'IA » et tous les autres. Ces alliés ont accès à des packages d'exportation d'IA complets, regroupant matériel, modèles, logiciels et normes. Les pays non membres, dont la Chine, sont soumis à des contrôles d'exportation plus stricts visant les sous-systèmes de fabrication de semi-conducteurs. Les fonctionnalités de vérification de la localisation des puces avancées empêcheront tout détournement vers des adversaires.

La déréglementation crée un vide

La déréglementation précipitée transfère davantage de responsabilités en matière de conformité aux entreprises elles-mêmes. La FTC doit examiner les enquêtes susceptibles de « contraindre indûment l'innovation en IA », tandis que le NIST supprime les références à la désinformation, à la DEI et au changement climatique de son cadre de gestion des risques liés à l'IA. Pourtant, plutôt que d'éliminer les obligations de conformité, ce recul fédéral ne fait que les fragmenter. Les États conservent leurs propres réglementations en matière d'IA, créant ainsi un ensemble disparate d'exigences que les entreprises doivent désormais gérer selon leur juridiction. Parallèlement, un plan promis pour éliminer les « parti pris idéologiques » introduit des normes d'approvisionnement vagues et sans définitions claires.

Les entreprises doivent désormais définir leurs propres cadres de gouvernance pour gérer les risques liés à l'IA. Cela implique d'établir des politiques claires en matière de gouvernance des données, de transparence des modèles et de réduction des biais, notamment pour les systèmes orientés client, où la responsabilisation est primordiale.

Et ensuite?

Les organisations ont désormais besoin d'évaluations régulières des risques liés à l'IA, de pistes d'audit documentées et d'une gestion rigoureuse des fournisseurs d'outils d'IA tiers. Parmi les points essentiels figurent l'explicabilité algorithmique, les garanties de confidentialité allant au-delà des exigences fédérales minimales et les procédures de réponse aux incidents spécifiques à l'IA.

Tout cela sera particulièrement délicat pour les entreprises opérant à la fois au-delà des frontières nationales et des frontières des États.

La solution la plus sûre consiste à cartographier les exigences dans toutes les juridictions d'exploitation, en identifiant les plus grands dénominateurs communs de conformité. Les entreprises devraient auditer leurs déploiements d'IA et mettre à jour leurs registres des risques pour refléter ce nouveau contexte.

Commencez par dresser l'inventaire de toutes les implémentations d'IA actuelles et prévues, en les évaluant au regard de votre tolérance au risque et de l'évolution de la réglementation. Les domaines prioritaires incluent les systèmes orientés client exigeant de la transparence, les décisions basées sur l'IA affectant l'emploi ou le crédit, et les dépendances aux modèles tiers.

Première norme mondiale de gestion de l'IA, la norme ISO 42001 propose 38 contrôles répartis sur neuf objectifs, selon la méthodologie classique « Planifier-Déployer-Vérifier-Agir ». Les entreprises certifiées démontrent que leurs systèmes d'IA identifient et atténuent les risques, tout en faisant preuve de résilience, d'évolutivité et d'une supervision cohérente. La norme s'intègre aux systèmes ISO 27001 existants et s'adapte à différents secteurs d'activité grâce à des orientations sectorielles.

Un cadre de contrôle structuré est précieux en période d'incertitude, lorsque les réglementations évoluent et que les orientations divergent quant à la manière d'aborder un développement technologique en constante évolution. La norme ISO 42001 peut être votre référence, vous permettant de rester ancré dans les meilleures pratiques de contrôle et de gestion des systèmes d'IA, quelle que soit la difficulté de la conformité.