GenAI in law firms

Un projet de loi américain ferait de la déclaration des risques liés à l’IA une obligation légale

Lucas Morel

Le projet de loi vise à combler les lacunes en matière de surveillance en obligeant les développeurs à divulguer les comportements dangereux des modèles et les menaces de sécurité.

Les législateurs américains ont présenté jeudi un projet de loi qui obligerait les développeurs de modèles d’IA avancés à signaler les incidents majeurs de sûreté et de sécurité au ministère du Commerce, établissant ainsi un cadre fédéral de surveillance des systèmes d’IA à haut risque.

Le projet de loi sur le rapport des incidents d’IA obligerait les développeurs de « modèles couverts » désignés à divulguer les incidents dans les sept jours suivant la connaissance ou la croyance raisonnable qu’un incident s’est produit. Pour les incidents présentant un risque imminent ou continu de préjudice grave, le ministère du Commerce devrait en informer les dirigeants du Congrès et les présidents des comités concernés de la Chambre et du Sénat dans les 48 heures suivant la réception du rapport.

Le projet de loi ordonne au secrétaire au Commerce d’établir des seuils de capacité pour déterminer quels modèles et développeurs d’IA sont soumis aux exigences de déclaration.

« L’IA est un puissant moteur d’innovation, et je veux la voir prospérer, mais pas sans responsabilité ni sans surveillance humaine », a déclaré Moran dans un communiqué annonçant la législation. « L’État de droit devrait s’appliquer à cette nouvelle frontière. Cette législation garantit qu’en cas de problème avec un système d’IA de haute capacité, le gouvernement américain dispose des informations nécessaires pour agir rapidement. »

Large gamme d’incidents à signaler

La proposition identifie un large éventail d’incidents qui nécessiteraient une divulgation au ministère du Commerce.

Selon le projet de loi, les développeurs devraient signaler les tentatives des modèles d’IA couverts d’échapper à la surveillance humaine, de tromper les opérateurs, de contourner les mesures de protection, de résister à l’arrêt ou d’obtenir un accès non autorisé aux systèmes ou aux privilèges.

L’exigence de déclaration s’appliquerait également au vol ou à la tentative de vol de poids de modèle, aux capacités qui pourraient matériellement permettre des cyberopérations offensives contre des logiciels importants ou des infrastructures critiques, au développement autonome de systèmes d’IA plus performants et aux capacités qui pourraient accélérer le développement ou l’utilisation d’armes chimiques, biologiques, radiologiques, nucléaires ou explosives.

La législation ordonne également au ministère du Commerce d’élaborer des seuils de capacité en consultation avec les développeurs d’IA, les chercheurs universitaires, les experts en cybersécurité, les responsables de la sécurité nationale et d’autres parties prenantes avant de publier des directives de mise en œuvre.

Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a déclaré que la proposition ferait du signalement des incidents graves d’IA une obligation légale plutôt qu’une pratique volontaire pour les développeurs de modèles d’IA frontaliers.

« Les développeurs de frontières sérieux mènent déjà les évaluations, l’équipe rouge et les exercices d’escalade », a déclaré Gogia. « Ce à quoi ils n’ont jamais été confrontés au niveau fédéral, c’est une obligation légale de prévenir le gouvernement, à l’heure actuelle, lorsqu’un modèle se comporte de manière dangereuse. »

Délais de déclaration et application de la loi

Le projet de loi oblige les développeurs couverts à soumettre un rapport initial dans les sept jours suivant la découverte d’un incident à signaler, ainsi que des rapports supplémentaires à mesure que des informations supplémentaires deviennent disponibles.

La législation autorise également le ministère du Commerce à enquêter sur la conformité, à émettre des assignations à comparaître, à exiger des mesures correctives et à imposer des sanctions civiles pouvant aller jusqu’à 2 millions de dollars en cas de violation. Chaque jour de violation continue constituerait une violation distincte, précise le projet de loi.

Gogia a déclaré que la mise en œuvre pourrait dépendre de la manière dont les régulateurs définissent les déclencheurs de déclaration.

« Les seuils de capacité constituent la difficulté visible, et non la plus profonde. Les seuils décident quels modèles entrent dans le régime. La découverte décide si le régime verra un jour l’incendie », a-t-il déclaré.

Faisant une comparaison avec les réglementations en matière de cybersécurité, il a déclaré que les exigences en matière de reporting devraient clairement définir le moment où un incident peut être signalé.

« Le cyber-reportage a déjà donné la leçon. Un déclencheur vague produit soit du silence, soit du bruit : les entreprises restent silencieuses jusqu’à ce qu’elles en soient sûres, ou bien elles enregistrent tout et enterrent le signal », a déclaré Gogia.

Combler une lacune, un récent différend révélé

Le projet de loi fait suite à une action du gouvernement américain qui a révélé l’absence d’un tel processus. Le 12 juin, le ministère du Commerce a pris des mesures contre les derniers modèles d’Anthropic, un développeur américain d’IA, pour des raisons de sécurité nationale, incitant l’entreprise à désactiver l’accès mondial à ces modèles.

« Le contrôle des exportations était un marteau. Cette proposition est la recherche d’un scalpel », a noté Gogia. La mesure est une alternative plus étroite au Great American Artificial Intelligence Act, un projet de discussion plus large publié plus tôt en juin qui achemine également les incidents de sécurité critiques vers le Commerce.

Le Centre pour les normes et l’innovation en matière d’IA du ministère du Commerce a signé séparément des accords pour évaluer les principaux modèles avant leur déploiement.

Le fardeau de la conformité incombe aux entreprises

Gogia a déclaré que l’obligation légale incombe au développeur, mais que le coût opérationnel revient aux clients. « La réglementation peut nommer le laboratoire, mais la facture de la mauvaise visibilité se règle en aval », a-t-il déclaré.

Selon lui, la question la plus difficile n’est pas de savoir quels modèles sont admissibles, mais plutôt de savoir quand commence le processus de reporting. « Les seuils décident quels modèles entrent dans le régime. La découverte décide si le régime verra un jour l’incendie », a-t-il déclaré, ajoutant qu’un modèle peut réussir les tests en laboratoire mais se comporter différemment une fois connecté aux outils réels et aux données de l’entreprise.

Le projet de loi exempte les rapports soumis des exigences de divulgation publique et stipule que la soumission d’un rapport ne renoncerait pas à la protection des secrets commerciaux ou au secret professionnel de l’avocat.

« L’instinct derrière ce projet de loi est solide, mais l’équilibre ne peut pas être établi à partir d’un communiqué de presse », a déclaré Gogia. « La formulation décidera de tout. »

Lois et règlementsIntelligence artificielleSécuritéRéponse aux incidentsPratiques de sécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

GenAI in law firms
Un projet de loi américain ferait de la déclaration des risques liés à l’IA une obligation légale
Benny Glaser remporte le championnat des joueurs de poker WSOP 2026 à 50 000 $
Benny Glaser remporte le championnat des joueurs de poker WSOP 2026 à 50 000 $
Notebook, hands and group of business people planning solution, discussion or kpi in office meeting. Laptop, sales manager and team together with profit data, budget increase or performance metrics
Une violation de Klue a exposé les données Salesforce CRM via des jetons OAuth volés