Un deuxième Etat (et pas le moindre) se met à réguler l’IA
Camille Gillon et Charles Cuvelliez
Photo d'illustration
DADO RUVIC
Camille Gillon et Charles Cuvelliez
Photo d'illustration
DADO RUVIC
Contrairement à l'UE, elle ne se focalise pas sur la protection des individus face à l'IA, mais aux conséquences « catastrophiques et globales » que l'IA pourrait avoir. C'est étonnant de voir la Californie qui héberge la Silicon Valley et pas mal de champions de l'IA prendre une posture « anti-IA ». Mais est-ce le cas ?
La loi californienne met l'accent et la responsabilité sur le développeur. Elle cadre le développement de l'AI, pas son utilisation, comme en Europe. Avant même d'entrainer le modèle d'IA qu'il aura développé, son concepteur doit prévoir une procédure d'arrêt d'urgence de son modèle, ainsi que des protocoles de sécurité. La loi craint-elle à ce point une IA autonome et démoniaque qui échappe au contrôle de l'humain au point de prévoir un arrêt d'urgence ? Les protocoles de sécurité doivent être conservés, non censurés, à disposition des autorités californiennes, tant que le modèle d'IA est offert commercialement et même 5 ans après. Toutes les révisions ou mises à jour devront aussi être documentées !
La loi interdit toute utilisation de cette IA pour un autre but que celui pensé et développé au départ, qui serait contraire à la loi ou pour un usage à même d'occasionner un préjudice critique. Le seuil est élevé : on parle de la création d'armes chimiques, biologiques ou radiologiques, ce qui est assez logique, mais le préjudice financier est aussi inclus : un seuil de 500 millions de dollars de préjudice (avéré) est prévu, du fait d'une cyberattaque causée par cet IA ou si cet IA a donné de bonnes idées pour la mener. La loi californienne exclut tout autre préjudice quand la cause n'est pas exclusivement due à cet IA.
Tout développeur d'IA devra, dès le 1er janvier 2026, faire appel à un auditeur tiers pour vérifier la conformité de son modèle avec les prescriptions de la loi. Le rapport d'audit devra être conservé pour les autorités, le cas échéant, jusqu'à 5 ans après la fin de la commercialisation, en particulier à l'usage du procureur général de Californie (le poste qu'a occupé K. Harris).
Le développeur enverra une déclaration de conformité, de quoi engager sa responsabilité, de son outil d'IA avec la loi, un peu sur le modèle des marques CE qu'on connait tous bien en Europe. Tous les incidents de sécurité qui ont émaillé l'utilisation du modèle devront être rapportés au procureur général. Il pourra, pour faire respecter la loi, engager des procédures au civil.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Mais la loi va plus loin : elle aborde aussi les entreprises qui offrent des puissances de calcul pour entrainer les modèles d'IA. Elles devront cadrer cet entrainement avec la mise en place d'une politique et de procédures adéquates.
On ne serait pas aux États-Unis si la Californie ne prévoyait pas des dispositions pour les lanceurs d'alertes qui feraient partie des équipes de développements. Ils doivent être protégés pour dénoncer leur patron qui enfreindrait la loi. Ambiance.
On crée aussi un comité au sein du gouvernement de l'État de Californie dont le rôle est de définir quels modèles d'IA seront soumis à la loi. Cette dernière ne parle que de modèles autonomes. Il y aura aussi un cadre pour la création d'infrastructures de cloud publiques. Il s'agira de « CalCompute », en concurrence avec les géants du cloud sans doute, pour y encourager plutôt la recherche, le déploiement et le développement d'une IA vertueuse, sure, éthique, équitable, durable.
La Californie fait le choix de tout mettre sur le dos des développeurs, qui sont, à ses yeux, les uniques responsables d'une IA sans danger : à vouloir (trop) encadrer le développement même de l'IA, la Californie court en tout cas le risque de la restreindre. Toute la sécurité de l'IA n'est pas dans les mains des développeurs : que dire d'utilisateurs peu scrupuleux, qui en détournerait l'usage, à l'insu des développeurs ou qui l'utiliseraient en dehors du champ prévu ? Que dire des modèles qui permettent aux utilisateurs de réentraîner les modèles par eux-mêmes ?
Rien n'est prévu sur l'open source qui est à peine évoqué, mais qui fait ses armes dans l'IA. Un tel encadrement sur le développement pourrait dissuader plus de recours à l'open source dont la transparence a la grande vertu d'encadrer les développeurs par leurs pairs. Les avis de la Silicon Valley sont en tout cas partagés. La loi ne vise que les géants de l'IA, mais ils sont tous en Californie aussi !
Les modèles d'IA les plus vertueux seraient alors ceux développés en Californie et mis en œuvre en Europe ? Attention qu'ils ne deviennent pas des modèles sans audace.
______
Pour en savoir plus
SB-1047 Safe and Secure Innovation for Frontier Artificial Intelligence Models Act.(2023-2024), California Senate.
Camille Gillon et Charles Cuvelliez