Le projet de clause sur l’IA de la GSA transforme la gouvernance en un mandat contractuel
Depuis des mois, une grande partie des discussions sur la gouvernance de l’IA se déroulent dans des documents stratégiques, des principes éthiques et des présentations aux conseils d’administration. La clause proposée par l’administration des services généraux (GSA) concernant les contrats d’IA change cela. Si elle est adoptée, la clause GSAR 552.239-7001 rendrait la gouvernance de l’IA une exigence contractuelle stricte pour les entreprises vendant des capacités d’IA au gouvernement fédéral, avec des implications considérables pour les responsables de la conformité, les équipes juridiques, les responsables des achats et les professionnels des risques tiers.
C’est pourquoi ce projet est important au-delà des entrepreneurs gouvernementaux. Il signale une évolution vers un contrôle de l’IA qui s’éloigne des engagements volontaires pour se diriger vers des contrôles, une documentation et une responsabilité applicables.
Des exigences contractuelles agressives
La clause proposée est particulièrement audacieuse. Elle accorde au gouvernement des droits de propriété étendus sur les « Données gouvernementales » et les « Développements personnalisés », interdit aux entrepreneurs d’utiliser les données gouvernementales pour former ou améliorer des modèles pour d’autres clients ou des fins commerciales, impose une obligation de signalement d’incidents sous 72 heures, et tient les entrepreneurs principaux directement responsables de la conformité des « Fournisseurs de services » en aval. De plus, elle exigerait l’utilisation de « Systèmes d’IA américains », imposerait un préavis avant tout changement matériel de fournisseur, et exigerait des formats ouverts et des API pour soutenir la portabilité et l’interopérabilité.
Problèmes de conformité et gouvernance des données
La dimension des risques tiers est peut-être la plus importante pour les professionnels de la conformité. Le projet définit « Fournisseurs de services » de manière suffisamment large pour inclure des plateformes d’IA commerciales en amont et des fournisseurs de modèles, même s’ils ne sont pas des sous-traitants traditionnels. Cela signifie que la conformité à l’IA pourrait de plus en plus dépendre de la capacité d’une entreprise à avoir une visibilité sur l’ensemble de sa pile technologique, à établir des obligations de flux descendantes, et à prouver que ces obligations peuvent être effectivement testées.
Les aspects de gouvernance des données sont tout aussi conséquents. La définition proposée de « Données gouvernementales » s’étend au-delà des invites et des sorties pour inclure les métadonnées, les journaux, les données dérivées et les informations liées à l’utilisation. Cela représente un développement majeur du point de vue de la conformité, car les régulateurs et les responsables des achats se concentrent désormais non seulement sur la protection des données, mais aussi sur la manière dont l’utilisation elle-même pourrait créer une valeur exploitable devant être gouvernée.
Provisions de portabilité et préoccupations
Les dispositions de portabilité méritent également une attention particulière. Le projet exige des formats de données et des API ouverts et normalisés, et interdit les approches propriétaires qui créent une dépendance ou exigent des licences supplémentaires pour quitter un système. Cela représente une leçon de passation de marchés fédéraux ayant une grande valeur pour le secteur privé. La gouvernance de l’IA ne consiste pas seulement à approuver un outil le premier jour, mais aussi à préserver la capacité de l’organisation à surveiller les changements, à migrer des données et à se désengager d’un fournisseur sans chaos opérationnel.
Cependant, le projet soulève des préoccupations sérieuses. Le langage relatif aux « Systèmes d’IA américains » semble difficile à appliquer dans un marché basé sur des équipes de développement mondiales, des composants open source et des chaînes d’approvisionnement multicouches. Les « Principes d’IA impartiaux » introduisent une incertitude supplémentaire en combinant des attentes de performance avec des termes politiquement chargés et des droits d’évaluation gouvernementale qui pourraient reposer sur des méthodologies non divulguées.
Conclusion
La leçon plus large est claire. La gouvernance de l’IA devient une question de contrat, de sourcing et de contrôle. Les responsables de la conformité ne devraient pas attendre une règle finale avant d’agir. Ils devraient déjà se demander si leurs organisations peuvent cartographier les fournisseurs d’IA, tracer les flux de données, documenter les changements de modèles, gérer les réponses aux incidents et prouver la surveillance avec des preuves crédibles. C’est dans cette direction que se dirige ce projet, et où le marché pourrait bientôt suivre.
