New York établit des normes de transparence pour l’IA avancée

Avancées de New York sur la Loi sur l’IA de Frontière

New York a franchi une étape significative pour devenir le premier État américain à établir des normes de transparence obligatoires pour les systèmes d’intelligence artificielle (IA) de frontière. La Loi sur la Sécurité et l’Éducation de l’IA Responsable (RAISE Act), qui vise à prévenir les catastrophes alimentées par l’IA tout en équilibrant les préoccupations d’innovation, a été adoptée par les deux chambres de la législature de l’État de New York en juin 2025. Elle est maintenant sur le bureau de la gouverneure de New York, Kathy Hochul, qui pourrait soit signer la loi, soit la renvoyer pour amendements, soit la veto.

Contexte et Principales Dispositions

Le RAISE Act a émergé des leçons tirées de l’échec du SB 1047 en Californie, qui a finalement été veto par le gouverneur Gavin Newsom en septembre 2024. Cette loi cible uniquement les systèmes d’IA les plus puissants, s’appliquant spécifiquement aux entreprises dont les modèles d’IA répondent à deux critères :

• Seuil de Coût de Formation : Les modèles d’IA ont été formés en utilisant plus de 100 millions de dollars en ressources informatiques.
• Portée Géographique : Les modèles sont mis à la disposition des résidents de New York.

Cette portée délibérément étroite exclut les petites entreprises, les startups et les chercheurs universitaires — répondant ainsi aux critiques clés du SB 1047 de Californie.

Exigences Clés

La législation établit quatre obligations principales pour les entreprises concernées :

1. Protocoles de Sécurité et de Protection : Elle exige que les plus grandes entreprises d’IA publient des protocoles de sécurité et d’évaluation des risques. Ces protocoles couvrent des risques graves, tels que l’assistance à la création d’armes biologiques ou la réalisation d’activités criminelles automatisées.
2. Rapport d’Incidents : Le projet de loi exige également que les laboratoires d’IA rapportent les incidents de sécurité, tels que des comportements préoccupants des modèles d’IA ou des acteurs malveillants volant un modèle d’IA, le cas échéant.
3. Évaluation et Atténuation des Risques : Les entreprises doivent effectuer des évaluations de risque approfondies couvrant des scénarios catastrophiques, y compris :
   • Décès ou blessures de plus de 100 personnes
   • Dommages économiques dépassant 1 milliard de dollars
   • Assistance à la création d’armes biologiques ou chimiques
   • Facilitation d’activités criminelles à grande échelle
4. Audit par des Tiers : Effectuer des audits par des tiers pour garantir la conformité à la loi.

Mécanismes d’Application

Si les entreprises technologiques ne respectent pas ces normes, le RAISE Act habilite le procureur général de New York à imposer des pénalités civiles allant jusqu’à 30 millions de dollars. Cette structure d’application offre un pouvoir de dissuasion significatif tout en évitant la responsabilité pénale.

Dispositions de Port de Sécurité

La loi inclut d’importantes protections pour le développement responsable, permettant aux entreprises de faire des « réductions appropriées » aux protocoles de sécurité lorsque nécessaire pour :

• Protéger la sécurité publique
• Sauvegarder les secrets commerciaux
• Maintenir les informations confidentielles comme l’exige la loi
• Protéger la vie privée des employés ou des clients

Caractéristiques Distinctives par Rapport au SB 1047 de Californie

Pour les modèles d’IA de frontière, la loi RAISE de New York semble être conçue pour répondre aux critiques spécifiques de l’échec du SB 1047 de Californie :

• Absence d’Exigence de « Kill Switch » : La loi RAISE ne requiert pas que les développeurs de modèles d’IA incluent un « kill switch » sur leurs modèles.
• Absence de Responsabilité Post-Formation : Elle ne tient pas les entreprises responsables pour des dommages critiques après la formation de modèles d’IA de frontière.
• Exemptions Académiques : Les universités et les institutions de recherche sont exclues de la couverture.
• Protection des Startups : Le seuil de coût computationnel élevé garantit que les petites entreprises restent non affectées.

Paysage Réglementaire Plus Large

La loi RAISE représente un débat plus large sur la réglementation de l’IA aux États-Unis. Les considérations clés incluent :

• Fragmentation Réglementaire : Le potentiel d’un patchwork de réglementations étatiques créant des défis de conformité.
• Préemption Fédérale : Les efforts en cours au Congrès pour établir des normes nationales uniformes.
• Compétitivité Internationale : Équilibrer les préoccupations de sécurité avec le maintien de la position de leader des États-Unis dans le développement de l’IA.

Considérations Légales Immédiates

Les entreprises opérant des modèles d’IA de frontière à New York devraient envisager de se préparer aux exigences de conformité potentielles :

1. Documentation des Protocoles de Sécurité : Commencer à développer des protocoles de sécurité et de protection complets qui peuvent résister à l’examen public tout en protégeant les informations propriétaires.
2. Systèmes de Réponse aux Incidents : Établir des systèmes robustes pour détecter, documenter et rapporter les incidents de sécurité.
3. Préparation à l’Audit par des Tiers : Identifier des auditeurs qualifiés et établir des systèmes de documentation prêts pour l’audit.
4. Examen Juridique : Effectuer une analyse juridique approfondie des opérations actuelles sous le cadre réglementaire proposé.

Cette analyse est basée sur des informations disponibles publiquement à partir de juin 2025. Les praticiens du droit devraient suivre les développements en cours et consulter la législation et les réglementations actuelles pour les exigences les plus à jour.