Préparer les États à tracer la feuille de route réglementaire de l’IA
Nous sommes en 2025, une année qui se définit rapidement par ce qu’elle n’est pas : claire, prévisible ou fédéralement alignée en ce qui concerne les réglementations sur l’IA et la confidentialité des données.
Lorsque le Président Trump a pris ses fonctions en janvier, l’un de ses premiers actes a été de révoquer l’Ordonnance Exécutive (OE) du Président Biden qui régulait l’IA. À sa place, Trump a signé une nouvelle directive visant à déréglamenter le développement de l’IA.
Si l’OE de Biden visait à établir des garde-fous, l’administration actuelle se concentre sur l’accélération. Cette oscillation entre les deux administrations a créé une sorte de whiplash politique, en particulier pour les responsables de la sécurité, de la confidentialité et de la conformité, chargés d’interpréter ce qui est exécutoire, ce qui est symbolique et ce qui pourrait arriver ensuite.
Une des réalités frappantes à laquelle font face les directeurs de la sécurité de l’information (CISO) et les leaders de la gouvernance, du risque et de la conformité (GRC) est le déconnexion croissante entre les ambitions fédérales et la conformité pratique.
Avec des régulateurs fédéraux comme la FTC et le CFPB confrontés à des coupes budgétaires et à une autorité réduite, il est très peu probable que nous voyions une législation fédérale complète sur la confidentialité des données en 2025. Les chances sont pratiquement nulles.
Depuis 2018, le Congrès a introduit cinq propositions législatives majeures sur la confidentialité des données destinées à unifier le patchwork de réglementations étatiques du pays. Chaque tentative s’est enlisé en commission, même si la pression du secteur privé pour une norme unique et unifiée grandit.
Sur le front de l’IA, maintenant que la tentative de la Chambre d’imposer un moratoire de 10 ans sur l’application des réglementations de l’IA au niveau des États a été bloquée 99-1 par le Sénat, de nombreux autres États pourraient avancer sur les réglementations de l’IA. Sans le moratoire sur l’IA, le projecteur réglementaire s’est déplacé vers les États – et il n’est en rien uniforme.
À travers le pays, les législateurs introduisent une vague de projets de loi sur la confidentialité et l’IA, chacun avec ses propres définitions, obligations et mécanismes d’application. Pour les organisations d’entreprise investissant massivement dans l’IA, cela crée un enchevêtrement complexe d’exigences d’État à État qui sont souvent chevauchantes, parfois conflictuelles et toujours évolutives.
Exemples de projets de loi étatiques en cours
Voici quelques-uns des efforts étatiques les plus significatifs actuellement en cours :
- California AB 2930 : Ce projet de loi proposé exigerait que les développeurs et déployeurs de systèmes de décision automatisés (ADS) réalisent des évaluations d’impact avant déploiement et annuellement par la suite.
- Colorado Artificial Intelligence Act SB 24-205 (CAIA) : Adopté en 2024 et entrant en vigueur en 2026, CAIA impose des obligations strictes aux développeurs et déployeurs de systèmes d’IA « à haut risque ». La loi exige des évaluations d’impact, des divulgations de transparence et des mesures affirmatives pour prévenir la discrimination algorithmique.
- New York AB 3265 – La « Loi sur les droits de l’IA » : Cette proposition large inclut le droit de se retirer des systèmes automatisés et impose des processus de retour humain et d’appel. Si elle est adoptée, elle redéfinirait la façon dont l’IA peut être utilisée dans des contextes orientés vers le consommateur au sein de l’État.
- EU AI Act : Bien qu’il ne s’agisse pas d’un projet de loi étatique, l’EU AI Act a des implications considérables pour les entreprises mondiales. Il introduit des classifications de risque par paliers pour les systèmes d’IA, avec des obligations de conformité variant des exigences de transparence aux interdictions complètes.
En résumé, les organisations d’entreprise investissant dans l’IA n’ont pas le luxe de tracer leur parcours de conformité sur une carte bien définie. Au contraire, elles tracent leurs routes à travers un territoire en patchwork en constante évolution. Le fardeau repose entièrement sur les épaules de leurs équipes GRC et de sécurité pour trouver le bon équilibre entre favoriser l’innovation et appliquer une surveillance appropriée.
Trois façons de rester en avance dans un climat réglementaire incertain
Voici trois bonnes pratiques qui aideront les équipes de sécurité et de GRC des entreprises à mieux naviguer dans un environnement réglementaire déroutant :
- Connecter les points dans la pile d’IA de l’organisation : Dans l’ère de l’IA générative, la visibilité ne concerne pas seulement le savoir où se trouvent les données sensibles. Il s’agit de comprendre comment ces données alimentent les systèmes d’IA de l’organisation.
- Mettre de l’ordre dans le chaos non structuré : Les données non structurées sont de plus en plus ingérées par les LLM et autres modèles GenAI, mais restent la partie la moins gouvernée de nombreux environnements.
- Contextualiser le risque : Les réglementations ne concernent rarement que le quoi : elles dépendent du qui, du où et du pourquoi. C’est pourquoi des informations contextuelles sont essentielles.
Le reste de 2025 sera très probablement une zone grise réglementaire pour l’IA. Mais les risques réputationnels et juridiques de non-conformité sont très réels. Les entreprises qui considèrent la gouvernance de l’IA comme une simple case à cocher reculeront. Celles qui intègrent la sécurité, la confidentialité et la conformité dans une couche d’intelligence des données unifiée seront les mieux positionnées pour innover de manière responsable.
Quoi qu’il arrive avec toutes ces lois conflictuelles, les entreprises ne devraient pas rester les bras croisés. Agir de manière responsable avec l’IA et la gouvernance des données n’est pas seulement une bonne affaire ; cela aide à établir la confiance, à garder l’entreprise en avance sur la courbe et à porter ses fruits à long terme.
