L'Illinois impose le premier audit de sécurité IA obligatoire aux États-Unis

iEXExchanger
L'Illinois impose le premier audit de sécurité IA obligatoire aux États-Unis

Le gouverneur Pritzker a signé une loi obligeant OpenAI, Anthropic, Google et Meta à engager chaque année des auditeurs indépendants pour la sécurité de leurs modèles, sous peine d'amendes de 3 millions de dollars.

L'Illinois vient de devenir le premier État américain à obliger les développeurs d'IA à prouver la sécurité de leurs systèmes par un contrôle indépendant, et non par de simples déclarations. Le 6 juillet, le gouverneur JB Pritzker a signé l'Artificial Intelligence Safety Measures Act (SB 315) : OpenAI, Anthropic, Google, Meta et xAI doivent désormais engager chaque année des auditeurs externes pour évaluer les risques de leurs modèles les plus puissants.

Jusqu'ici, les entreprises se notaient en grande partie elles-mêmes : la Californie et New York exigeaient déjà la publication d'un plan de gestion des risques, mais personne ne vérifiait son application. L'Illinois a relevé la barre. La loi concerne les modèles entraînés avec plus de 10^26 opérations en virgule flottante, développés par des sociétés dont le chiffre d'affaires annuel dépasse 500 millions de dollars. Pour elles, l'audit indépendant n'est plus une option, et un résumé des résultats doit être publié sur le site de l'entreprise sous 30 jours.

Le texte a aussi des dents. Si un modèle se comporte de façon imprévisible ou crée un risque pour la sécurité, l'entreprise doit prévenir les autorités de l'État sous 72 heures, ou 24 heures si le danger est imminent et peut causer la mort ou des blessures graves. Les employés qui signalent des infractions bénéficient d'une protection explicite contre les représailles. Les entreprises qui esquivent un audit, ratent une échéance ou trompent les régulateurs risquent une amende pouvant atteindre 1 million de dollars pour une première infraction et 3 millions en cas de récidive, appliquée par le procureur général de l'État.

Le calendrier n'a rien d'un hasard. Le Congrès débat discrètement d'un projet de loi fédéral qui gèlerait pendant trois ans toute nouvelle règle étatique sur le développement de l'IA — encore un simple brouillon, pas une loi, mais l'Illinois a manifestement voulu verrouiller ses règles avant la fermeture de cette fenêtre. OpenAI et Anthropic ont soutenu publiquement la SB 315, mais pour des raisons opposées : Anthropic veut que les États continuent d'adopter des lois plus strictes, précisément pour pousser le Congrès à écrire une norme fédérale réellement exigeante plutôt qu'un compromis édulcoré, tandis qu'OpenAI préférerait un cadre national unique plutôt que cinquante réglementations différentes à respecter.

La loi entre en vigueur le 1er janvier 2027, laissant aux entreprises environ un an et demi pour recruter des auditeurs et bâtir leurs circuits de signalement. Si l'Illinois résiste à la contestation attendue du secteur, d'autres États devraient reprendre son modèle — l'audit indépendant pourrait alors devenir la norme du secteur bien avant que le Congrès n'adopte la moindre loi fédérale.

Questions et réponses

Questions fréquemment posées sur le sujet de l'article

Que prévoit exactement la loi SB 315 de l'Illinois ?

La loi oblige les grands développeurs d'IA à faire auditer chaque année la sécurité de leurs modèles les plus puissants par un tiers indépendant, à publier un rapport résumé sous 30 jours et à signaler tout incident critique sous 72 heures (24 heures en cas de danger de mort).

Quelles entreprises sont concernées par la loi ?

Elle s'applique aux développeurs dont le chiffre d'affaires annuel dépasse 500 millions de dollars et dont les modèles ont été entraînés avec plus de 10^26 opérations en virgule flottante, un seuil atteint par OpenAI, Anthropic, Google, Meta et xAI.

Quelles sanctions la loi prévoit-elle en cas de non-respect ?

Le procureur général de l'Illinois peut infliger une amende allant jusqu'à 1 million de dollars pour une première infraction et jusqu'à 3 millions en cas de récidive — par exemple pour un audit manqué, un délai de signalement non respecté ou des informations trompeuses fournies aux régulateurs.

Quel est le lien avec le débat fédéral sur la régulation de l'IA ?

Le Congrès débat d'un projet de loi qui gèlerait pendant trois ans les nouvelles règles étatiques sur le développement de l'IA. L'Illinois a agi pendant que ce n'est encore qu'un brouillon. Anthropic et OpenAI ont soutenu la SB 315, mais divergent sur la stratégie : Anthropic veut des lois étatiques plus dures pour faire pression sur le Congrès, tandis qu'OpenAI préférerait une norme fédérale unique.