Plus de 70 % des responsables informatiques déclarent que la conformité réglementaire est une préoccupation majeure lors du déploiement de l’IA générative – et la vague de réglementations en matière d’IA ne fait que commencer.
Plus de sept responsables informatiques sur dix s’inquiètent de la capacité de leur organisation à respecter les exigences réglementaires lors du déploiement de l’IA générative, et nombre d’entre eux s’inquiètent d’un éventuel patchwork de réglementations à venir.
Selon une récente enquête de Gartner, plus de 70 % des responsables informatiques ont cité la conformité réglementaire comme l’un de leurs trois principaux défis liés au déploiement de la génération IA. Selon l’enquête, moins d’un quart de ces responsables informatiques sont convaincus que leur organisation peut gérer les problèmes de sécurité et de gouvernance, y compris la conformité réglementaire, en utilisant la génération AI.
Les responsables informatiques semblent inquiets de se conformer au risque d’un nombre croissant de réglementations en matière d’IA, dont certaines pourraient entrer en conflit les unes avec les autres, déclare Lydia Clougherty Jones, analyste directrice principale chez Gartner.
« Le nombre de nuances juridiques, en particulier pour une organisation mondiale, peut être écrasant, car les cadres annoncés par les différents pays varient considérablement », dit-elle.
Gartner prédit que les violations de la réglementation en matière d’IA entraîneront une augmentation de 30 % des litiges juridiques pour les entreprises technologiques d’ici 2028. D’ici le milieu de 2026, de nouvelles catégories de prises de décision illégales fondées sur l’IA coûteront plus de 10 milliards de dollars en coûts de remédiation aux fournisseurs et aux utilisateurs d’IA, prévoit également le cabinet d’analystes.
Juste le début
Les efforts du gouvernement pour réglementer l’IA en sont probablement à leurs balbutiements, avec la loi européenne sur l’IA, entrée en vigueur en août 2024, l’un des premiers textes législatifs majeurs ciblant l’utilisation de l’IA.
Alors que le Congrès américain a jusqu’à présent adopté une approche non interventionniste, une poignée d’États américains ont adopté des réglementations sur l’IA, le Colorado AI Act de 2024 obligeant les utilisateurs d’IA à maintenir des programmes de gestion des risques et à mener des évaluations d’impact et exigeant à la fois les fournisseurs et les utilisateurs de protéger les consommateurs contre la discrimination algorithmique.
Le Texas a également adopté sa propre loi sur l’IA, qui entrera en vigueur en janvier 2026. La Texas Responsible Artificial Intelligence Governance Act (TRAIGA) oblige les entités gouvernementales à informer les individus lorsqu’ils interagissent avec une IA. La loi interdit également d’utiliser l’IA pour manipuler le comportement humain, par exemple en incitant à l’automutilation ou en se livrant à des activités illégales.
La loi du Texas prévoit des sanctions civiles pouvant aller jusqu’à 200 000 dollars par violation ou 40 000 dollars par jour pour les violations continues.
Puis, fin septembre, le gouverneur de Californie, Gavin Newsom, a signé la Transparency in Frontier Artificial Intelligence Act, qui oblige les grands développeurs d’IA à publier des descriptions sur la manière dont ils ont intégré les normes nationales, les normes internationales et les meilleures pratiques consensuelles de l’industrie dans leurs cadres d’IA.
La loi californienne, qui entrera également en vigueur en janvier 2026, oblige également les sociétés d’IA à signaler les incidents de sécurité critiques, y compris les cyberattaques, dans un délai de 15 jours, et prévoit des dispositions pour protéger les lanceurs d’alerte qui signalent des violations de la loi.
Les entreprises qui ne respectent pas les exigences de divulgation et de déclaration s’exposent à des amendes pouvant aller jusqu’à 1 million de dollars par violation.
La réglementation californienne en matière informatique a un impact considérable sur les pratiques mondiales, car la population de l’État, qui compte environ 39 millions d’habitants, lui confère un nombre considérable de clients potentiels en matière d’IA protégés par la loi. La population de la Californie dépasse celle de plus de 135 pays.
La Californie est également la capitale mondiale de l’IA, abritant le siège de 32 des 50 plus grandes sociétés d’IA au monde, dont OpenAI, Databricks, Anthropic et Perplexity AI. Tous les fournisseurs d’IA exerçant leurs activités en Californie seront soumis à la réglementation.
Les DSI en première ligne
Alors que les États américains et de plus en plus de pays sont susceptibles d’adopter des réglementations sur l’IA, les DSI sont naturellement nerveux quant à la conformité lorsqu’ils déploient la technologie, déclare Dion Hinchcliffe, vice-président et responsable de la pratique du leadership numérique et des DSI, chez la société d’information commerciale Futurum Equities.
« Le DSI est tenu de faire en sorte que cela fonctionne réellement, c’est pourquoi ce sont eux qui prêtent une attention particulière à ce qui est possible », dit-il. « Ils se demandent : ‘Dans quelle mesure ces éléments sont-ils précis ? Dans quelle mesure les données peuvent-elles être fiables ?' »
Bien qu’il existe certaines solutions de conformité en matière de réglementation et de gouvernance de l’IA, certains DSI craignent que ces outils ne suivent pas le paysage en constante évolution de la réglementation et des fonctionnalités de l’IA, explique Hinchcliffe.
« Il n’est pas sûr que nous disposions d’outils capables de gérer de manière constante et fiable les problèmes de gouvernance et de conformité réglementaire, et cela pourrait empirer, car les réglementations ne sont même pas encore arrivées », dit-il.
La conformité réglementaire en matière d’IA sera particulièrement difficile en raison de la nature de la technologie, ajoute-t-il. « L’IA est tellement glissante », déclare Hinchcliffe. « La technologie n’est pas déterministe ; elle est probabiliste. L’IA s’efforce de résoudre tous ces problèmes que les systèmes traditionnellement codés ne peuvent pas résoudre parce que les codeurs n’ont jamais pensé à ce scénario. »
Tina Joros, présidente du groupe de travail sur l’IA de l’Electronic Health Record Association, voit également des inquiétudes quant à la conformité en raison d’un paysage réglementaire fragmenté. Les diverses réglementations en cours d’adoption pourraient élargir une fracture numérique déjà importante entre les grands systèmes de santé et leurs homologues plus petits et ruraux qui ont du mal à suivre le rythme de l’adoption de l’IA, dit-elle.
« Les différentes lois adoptées par des États comme la Californie, le Colorado et le Texas créent un labyrinthe réglementaire qui représente un défi pour les responsables informatiques de la santé et pourrait avoir un effet dissuasif sur le développement et l’utilisation futurs de l’IA générative », ajoute-t-elle.
Même les projets de loi qui ne sont pas adoptés nécessitent une analyse minutieuse, car ils pourraient façonner les futures attentes réglementaires, ajoute Joros.
« La confusion surgit également parce que les définitions pertinentes incluses dans ces lois et réglementations, telles que « développeur », « déployeur » et « risque élevé », sont souvent différentes, ce qui entraîne un certain niveau d’incertitude dans le secteur », dit-elle. « Cela amène naturellement de nombreux développeurs de logiciels à parfois suspendre ou remettre en question leurs projets, car les développeurs et les prestataires de soins de santé veulent s’assurer que les outils qu’ils créent actuellement seront conformes à l’avenir. »
James Thomas, directeur de l’IA chez le fournisseur de logiciels contractuels ContractPodAi, convient que l’incohérence et le chevauchement entre les réglementations en matière d’IA créent des problèmes.
« Pour les entreprises mondiales, cette fragmentation crée à elle seule des problèmes opérationnels, non pas parce qu’elles ne veulent pas s’y conformer, mais parce que chaque réglementation définit des concepts tels que la transparence, l’utilisation, l’explicabilité et la responsabilité de manière légèrement différente », explique-t-il. « Ce qui fonctionne en Amérique du Nord ne fonctionne pas toujours dans l’ensemble de l’UE. »
Regardez les outils de gouvernance
Thomas recommande aux organisations d’adopter une suite de contrôles et de systèmes de gouvernance lorsqu’elles déploient l’IA. Dans de nombreux cas, un problème majeur réside dans le fait que l’adoption de l’IA a été motivée par des employés individuels utilisant des outils de productivité personnels, créant ainsi une approche de déploiement fragmentée.
« Bien que puissants pour des tâches spécifiques, ces outils n’ont jamais été conçus pour les complexités d’un déploiement réglementé à l’échelle de l’entreprise », explique-t-il. « Ils manquent de gouvernance centralisée, fonctionnent en silos et rendent presque impossible la garantie de la cohérence, le suivi de la provenance des données ou la gestion des risques à grande échelle. »
Alors que les responsables informatiques luttent pour se conformer à la réglementation, Gartner recommande également de se concentrer sur la formation des modèles d’IA pour qu’ils s’auto-corrigent, de créer des procédures rigoureuses d’examen des cas d’utilisation, d’augmenter les tests de modèles et le sandboxing, et de déployer des techniques de modération de contenu telles que des boutons pour signaler les abus avec des étiquettes d’avertissement d’IA.
Les responsables informatiques doivent être capables de défendre leurs résultats en matière d’IA, ce qui nécessite une compréhension approfondie du fonctionnement des modèles, explique Clougherty Jones de Gartner. Dans certains scénarios de risque, cela peut impliquer de faire appel à un auditeur externe pour tester l’IA.
« Vous devez défendre les données, vous devez défendre le développement du modèle, le comportement du modèle, puis vous devez défendre le résultat », dit-elle. « Souvent, nous utilisons des systèmes internes pour auditer les résultats, mais si quelque chose présente un risque vraiment élevé, pourquoi ne pas demander à une partie neutre de pouvoir l’auditer ? Si vous défendez le modèle et que c’est vous qui avez effectué les tests vous-même, cela n’est défendable que jusqu’à présent. »
