La Californie adopte la loi sur la transparence dans l’intelligence artificielle de pointe (SB 53)
Le 29 septembre 2025, le gouverneur Gavin Newsom a signé la Loi sur la transparence dans l’intelligence artificielle de pointe (TFAIA), faisant de la Californie le premier État à exiger des divulgations de sécurité publiques et standardisées de la part des développeurs de modèles d’intelligence artificielle (IA) avancés. En l’absence d’une législation fédérale complète, la Californie rejoint le Colorado et le Texas dans l’avancement de la gouvernance de l’IA au niveau des États.
Contrairement à des propositions plus larges envisagées en 2024, qui incluaient des dispositions controversées telles que des audits tiers obligatoires et des exigences de « kill-switch », le SB 53 se concentre sur la transparence et la responsabilité des développeurs de modèles de fondation à usage général les plus capables, ainsi que sur les préjudices qui atteignent le niveau de risque catastrophique. La plupart des exigences entreront en vigueur le 1er janvier 2026.
Pourquoi la TFAIA est-elle importante ?
La TFAIA impose des divulgations publiques avant le déploiement, un rapport opportun à l’État lors de l’apparition de problèmes de sécurité graves, et de solides protections internes pour la gouvernance et les lanceurs d’alerte auprès des développeurs qualifiés. La loi est calibrée autour d’un seuil de calcul qui suit de près les lignes directrices fédérales et internationales émergentes, signalant une norme de facto pour la transparence de la sécurité aux États-Unis.
À qui s’applique la TFAIA ?
La TFAIA s’applique aux développeurs de « modèles d’IA de pointe », définis comme des modèles de fondation entraînés utilisant plus de 10^26 opérations entières ou à virgule flottante (FLOPs), y compris le calcul utilisé pour l’ajustement ultérieur, l’apprentissage par renforcement ou d’autres modifications matérielles. En 2025, des analystes indépendants estiment qu’un petit nombre de modèles ont atteint ou dépassé ce seuil. Une analyse de prévision d’EPOCH AI projette environ 10 modèles à ou au-dessus du seuil de 10^26 d’ici 2026, avec une croissance rapide par la suite à mesure que les budgets de formation et les clusters se développent.
La loi impose des exigences supplémentaires de transparence et de responsabilité aux « grands développeurs de pointe » dont le chiffre d’affaires annuel, y compris les affiliés, a dépassé 500 millions de dollars l’année précédente. La couverture n’est pas limitée aux entités basées en Californie si les modèles sont mis à la disposition des utilisateurs en Californie.
Que doivent faire les développeurs de pointe ?
Cadre IA de pointe (grands développeurs de pointe). Les grands développeurs de pointe doivent publier, maintenir et suivre un cadre IA de pointe écrit qui explique comment l’organisation intègre les normes nationales et internationales et les pratiques consensuelles de l’industrie ; établit et évalue des seuils pour les capacités pouvant poser un risque catastrophique ; applique des atténuations et teste leur efficacité (y compris par le biais d’évaluations tierces) ; et attribue des responsabilités de gouvernance et de décision. Ce cadre doit également décrire les mesures de cybersécurité pour sécuriser les poids de modèle non publiés, les critères et déclencheurs pour les mises à jour, et le processus d’identification et de réponse aux incidents de sécurité critiques. Le cadre doit être examiné au moins annuellement, et toute modification matérielle doit être publiée dans les 30 jours avec une brève justification.
Rapports de transparence au moment du déploiement (tous les développeurs de pointe). Avant ou en même temps que le déploiement d’un nouveau modèle de pointe — ou d’une version substantiellement modifiée — les développeurs doivent publier un rapport de transparence (qui peut être présenté sous la forme d’une carte système ou modèle) identifiant la date de sortie du modèle, les langues et modalités prises en charge, les utilisations prévues, les restrictions ou conditions générales d’utilisation, et fournir le site Web du développeur ainsi qu’un mécanisme de contact. Les grands développeurs de pointe doivent également résumer leurs évaluations de risque catastrophique, divulguer les résultats, décrire le rôle de tout évaluateur tiers, et expliquer d’autres mesures prises dans le cadre.
Rapports d’incidents de sécurité critiques (tous les développeurs de pointe). Les développeurs doivent signaler les incidents de sécurité critiques qualifiés au bureau des services d’urgence de Californie (OES) dans les 15 jours suivant leur découverte. Si un incident présente un risque imminent de mort ou de blessure physique grave, le développeur doit le signaler dans les 24 heures à une autorité de sécurité publique appropriée. L’OES maintiendra des canaux de soumission publics et confidentiels et publiera des résumés annuels anonymisés à partir du 1er janvier 2027. Les rapports d’incidents et les résumés d’évaluation des risques internes sont exemptés de la loi californienne sur l’accès à l’information publique.
Sommaires de risque pour usage interne (grands développeurs de pointe). Les grands développeurs de pointe doivent transmettre périodiquement des sommaires à l’OES concernant les évaluations de risque catastrophique provenant de l’utilisation interne de modèles de pointe (trimestriellement par défaut ou selon un calendrier raisonnable écrit).
Véracité et redactions étroites. La loi interdit les déclarations matériellement fausses ou trompeuses concernant le risque catastrophique et, pour les grands développeurs de pointe, concernant la mise en œuvre ou la conformité au cadre IA de pointe. Les divulgations publiques ne peuvent être expurgées que dans la mesure nécessaire pour protéger les secrets commerciaux, la cybersécurité, la sécurité publique ou la sécurité nationale des États-Unis, ou pour se conformer à la loi ; les développeurs doivent décrire la nature et la justification de toute expurgation et conserver les documents non expurgés pendant cinq ans.
Protections des lanceurs d’alerte et canaux internes. La loi ajoute également de nouvelles dispositions au Code du travail interdisant les représailles et l’utilisation de clauses de non-divulgation contre les employés concernés qui soulèvent des préoccupations concernant le risque catastrophique ou des violations de la SB 53 auprès du procureur général, des autorités fédérales ou des destinataires internes appropriés. Les grands développeurs de pointe doivent fournir un canal de signalement anonyme avec des mises à jour mensuelles sur l’état au reporter et des briefings trimestriels aux responsables ou directeurs (avec une exception lorsqu’un responsable ou directeur est accusé).
Application et sanctions
Seul le procureur général de Californie peut engager des actions civiles. Les sanctions peuvent atteindre 1 million de dollars par violation, selon la gravité. La perte de valeur boursière ne constitue pas un dommage matériel aux fins des sanctions.
Infrastructure étatique et préemption locale
Le SB 53 établit un consortium pour concevoir CalCompute, un cluster cloud public soutenu par l’État destiné à soutenir une recherche en IA sûre, équitable et durable. Un rapport à l’Assemblée législative est dû le 1er janvier 2027, sous réserve d’une appropriation budgétaire. La loi préempte également les mesures locales adoptées à partir du 1er janvier 2025 qui réglementent spécifiquement la gestion des risques catastrophiques par les développeurs de pointe.
Quand cela entre-t-il en vigueur ?
Les principales obligations de publication, de reporting, de véracité, et de protection des lanceurs d’alerte entreront en vigueur le 1er janvier 2026. Les rapports anonymisés de l’OES et du procureur général et les revues annuelles commenceront le 1er janvier 2027.
Autres réglementations californiennes sur l’IA entrant en vigueur le 1er janvier 2026
AB 2013 (transparence des données de formation). Les développeurs de systèmes d’IA générative mis à la disposition des Californiens doivent publier la documentation des données de formation sur le site Web du développeur pour les systèmes publiés à partir du 1er janvier 2022. La conformité est requise d’ici le 1er janvier 2026, et encore lors de toute modification substantielle.
SB 942 (transparence du contenu IA). Les fournisseurs d’IA générative concernés doivent mettre en œuvre des mesures de transparence du contenu, y compris la mise à disposition d’un outil de détection accessible gratuitement au public permettant aux utilisateurs d’évaluer si un contenu audio, image ou vidéo a été créé ou modifié par le système du fournisseur. La loi envisage également des signaux de provenance durables (par exemple, des métadonnées) pour soutenir les divulgations en aval. Le SB 942 entre en vigueur le 1er janvier 2026.
Propositions législatives californiennes en attente
AB 412 (documentation du droit d’auteur pour les données de formation) exigerait des développeurs qu’ils documentent les matériaux protégés par le droit d’auteur qu’ils utilisent sciemment dans la formation et qu’ils fournissent un mécanisme permettant aux titulaires de droits d’auteur de vérifier si leur travail apparaît dans les ensembles de données de formation.
SB 243 (chatbots compagnons) a été adopté par les deux chambres et attend l’action du gouverneur. Il exigerait des divulgations claires que les utilisateurs interagissent avec une IA, des rappels périodiques, et des mesures de sécurité conçues pour restreindre l’accès des mineurs à du contenu sexuel.
Conclusion
Les développeurs de pointe doivent rapidement déterminer leur couverture en reconstruisant le calcul d’entraînement et de post-entraînement (y compris l’ajustement et l’apprentissage par renforcement) et en confirmant le statut de revenu consolidé. Si un modèle atteint le seuil de 10^26 FLOPs, le développeur de pointe devrait : (1) rédiger, adopter et publier un cadre IA de pointe aligné sur les normes qui établit des seuils de capacité, des portes d’atténuation, des critères d’évaluation tierce, et des contrôles de sécurité des poids de modèle ; (2) opérationnaliser un flux de travail de transparence au moment du déploiement et un plan d’incidents critiques qui satisfont aux délais de reporting de 15 jours et 24 heures ; et (3) mettre en œuvre des canaux de lanceurs d’alerte, des avis aux employés et des protections contre les représailles conformes aux nouvelles dispositions du Code du travail. La TFAIA, axée sur la gestion des risques catastrophiques et alignée sur les seuils de calcul fédéraux, est positionnée pour devenir la norme de facto pour la transparence de la sécurité de l’IA aux États-Unis.
