Comment les États prennent les devants en matière de réglementation de l’IA ISMS.online

Comment les États prennent les devants en matière de réglementation de l’IA

Par Danny Bradbury • 18 Juin 2024

L’année dernière a été l’une des plus importantes dans le domaine de l’IA depuis que les scientifiques ont proposé ce concept à la fin des années 1940. Les fournisseurs d’IA ont continué à innover, avec des modèles d’IA plus puissants apparaissant régulièrement, et les fournisseurs de technologies les intègrent activement à leurs offres de base. Même si la Maison Blanche a publié un Décret pour essayer de mettre des garde-fous autour de cette technologie puissante, elle est limitée sans le soutien du Congrès, et les législateurs ont fait très peu pour aider. Il n’existe toujours pas de réglementation globale sur l’IA au niveau fédéral.

Cela a laissé les gouvernements des États combler le vide et ils ont relevé le défi. Selon la Business Software Alliance, les législateurs des États introduit 440 % de factures liées à l’IA en plus en 2023 par rapport à l’année précédente. Ces lois ont exploré diverses questions liées à l'IA, notamment le potentiel de biais, la transparence sur les données utilisées pour former les systèmes d'IA et les menaces spécifiques telles que les deepfakes.

Un flot de mesures étatiques

Les mesures réglementaires prises par les États varient considérablement. Certains, comme le Texas, se sont concentrés sur l’utilisation de l’IA par l’État lui-même. C'est House Bill 2060, promulguée l'année dernière, a créé un conseil consultatif sur l'IA pour examiner l'utilisation des systèmes d'IA par l'État et évaluer la nécessité d'un code d'éthique.

D’autres réglementations sur l’IA englobent l’utilisation de ces systèmes par le secteur privé, souvent nichées dans les lois sur la protection de la vie privée des consommateurs. celui de l'Oregon SB619, qui entre en vigueur le 1er juillet de cette année, comprend une disposition de désinscription pour les données utilisées dans le profilage automatisé. celui du Montana SB384 la législation sur la protection de la vie privée des consommateurs, introduite en février 2023, contient une disposition similaire, tout comme celle de Virginia. Loi sur la protection des données des consommateurs et celui du New Hampshire SB255. Toutes ces mesures ont déjà été adoptées, tout comme celle du Tennessee. HB1181, qui impose des évaluations de la protection des données pour le profilage des données.

Certains se concentrent sur l’IA générative. celui de l'Utah SB149, promulguée en mars de cette année, exige que les individus soient informés s'ils interagissent avec l'IA dans le cadre d'une profession réglementée (qui nécessite qu'ils détiennent une licence ou un certificat d'État).

D’autres États ont tenté d’aller au-delà des dispositions de non-participation au profilage en offrant des protections supplémentaires liées à l’IA. Le Connecticut, qui a appliqué une telle disposition dans son Connecticut Privacy Act l’année dernière, a tenté un autre projet de loi – SB2 – qui aurait réglementé le développement d’outils de décision automatisés et de systèmes d’IA eux-mêmes. Cela aurait exigé une documentation complète de ces systèmes et de leur comportement, ainsi que des données utilisées lors du développement (cela aurait inclus des données de formation). Cela aurait également nécessité des évaluations des risques liés à leur déploiement, ainsi que de la transparence.

Le Sénat de l'État du Connecticut a adopté le SB2, mais il n'a pas réussi à obtenir un vote à la Chambre avant la date limite de mai, en partie à cause de la promesse du gouverneur du Connecticut, Ned Lamont, d'opposer son veto au projet de loi.

Cependant, le Colorado a eu plus de chance en repoussant les limites de la réglementation de l’IA. Une semaine après la chute du SB2 au dernier obstacle, la législature de l'État du Colorado a adopté SB24-205, qui réglemente spécifiquement l’IA. La loi introduit un cadre éthique pour le développement de systèmes d’IA à haut risque, impose la divulgation de leur utilisation et donne aux consommateurs la possibilité de contester leurs résultats et de corriger toutes les données personnelles utilisées par le système d’IA. Les systèmes d’IA à haut risque, que la loi définit comme ceux conduisant à des « décisions conséquentes », seront également soumis à une évaluation des risques et à un examen annuel.

D’autres États se sont concentrés sur des utilisations spécifiques de l’IA. En 2020, l'Illinois a adopté 820 ILCS 42/1 (le Loi sur les interviews vidéo sur l'intelligence artificielle), qui oblige les employeurs potentiels à obtenir le consentement des candidats s’ils utilisent l’IA pour analyser leurs entretiens vidéo.

Il y a d’autres becs agressifs dans la trémie. En mai, le Sénat de Californie a adopté SB1047 par 32 voix contre une. Ce projet de loi, dont la date limite est le 31 août pour être adopté par l'Assemblée de l'État, fait écho à certaines des mesures du décret de la Maison Blanche sur l'IA. Il impose notamment des mesures de sécurité telles que le red-teaming et les tests de cybersécurité pour les grands modèles d’IA. Cela créerait un bureau distinct pour réglementer l’IA, ainsi qu’un cloud public pour la formation des modèles d’IA, et garantirait qu’un « kill switch » soit intégré aux modèles d’IA pour les désactiver en cas de problème.

Les lois des États repoussant les limites de la réglementation de l’IA continueront d’émerger tant que les législateurs fédéraux resteront les bras croisés. Certaines initiatives prometteuses ont été prises, comme l'introduction du cadre d'innovation SAFE du sénateur Schumer pour étudier l'utilisation responsable de l'IA. Cependant, cette initiative avance à un rythme lent. Une proposition Loi fédérale sur la gestion des risques liés à l'intelligence artificielle obligerait également les agences fédérales à adopter le cadre de gestion des risques de l’IA du NIST et à créer des lignes directrices en matière d’acquisition d’IA pour les agences. Mais à l’heure actuelle, c’est dans les États que se déroule l’action.

Comment pouvez-vous vous préparer?

Comment les entreprises peuvent-elles commencer à se préparer à ce qui est déjà en train de devenir une mosaïque de réglementations étatiques autour de l’IA ? La norme ISO 42001 constitue une référence utile. Il décrit les exigences d'un système de gestion de l'intelligence artificielle (AIMS) qui comprend des politiques, des procédures et des objectifs dans le cadre d'une structure de gouvernance pour l'utilisation des systèmes d'IA. Il recommande également la transparence et la responsabilité dans la prise de décision basée sur l’IA, tout en aidant les organisations à identifier et à atténuer les risques liés à l’IA.

À mesure que les règles étatiques se multiplient, une norme ISO constitue une référence qui démontre les bonnes pratiques et la prévoyance dans une période incertaine pour la réglementation de l’IA.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury