L'État de Californie, épicentre mondial de l'innovation en matière d'intelligence artificielle, vient d'offrir au monde une illustration saisissante des défis inhérents à la régulation de cette technologie émergente. Le 3 septembre 2024, le Sénat californien adoptait une proposition de loi ambitieuse (SB-1047) visant à encadrer les modèles d'IA les plus avancés. Moins d'un mois plus tard, le 29 septembre, le Gouverneur Gavin Newsom y opposait son véto, au terme d'une réflexion qui éclaire remarquablement les enjeux fondamentaux de la régulation de l'IA.
La proposition de loi SB-1047, intitulée "Safe and Secure Innovation for Frontier Artificial Intelligence Models Act", représentait la première tentative législative mondiale d'établir un cadre réglementaire spécifique pour les modèles d'IA dits "frontière". Son ambition était de conjuguer innovation technologique et sécurité publique, dans un État qui abrite 32 des 50 principales entreprises mondiales d'IA.
La notion de "frontière" utilisée dans le texte revêt une signification particulière : elle désigne les modèles d'IA qui se situent à la pointe de l'innovation technologique, à la "frontière" des capacités techniques actuelles. Ces modèles se distinguent non seulement par leur puissance de calcul extraordinaire et leur coût, mais surtout par leur capacité potentielle à repousser les limites connues de l'intelligence artificielle. Ce sont des systèmes qui, par leur complexité et leurs capacités, se situent à la frontière entre les applications connues et maîtrisées de l'IA et les territoires encore inexplorés de cette technologie. Ce positionnement à la "frontière" technologique explique à la fois leur potentiel d'innovation et les risques spécifiques qu'ils peuvent présenter, justifiant ainsi une attention réglementaire particulière.
Le texte s'articulait autour de critères techniques et financiers précis (art. 22602) : une puissance de calcul dépassant 10^26 opérations pour l'entraînement initial, associée à un investissement supérieur à 100 millions de dollars aux prix du marché du cloud computing. Cette définition s'étendait également aux modèles dérivés par fine-tuning, avec des seuils adaptés (puissance de calcul trois fois supérieure à 10^25 opérations et coût dépassant 10 millions de dollars), témoignant d'une volonté d'appréhension globale du phénomène.
La proposition visait principalement à prévenir les "préjudices critiques", notion englobant la création d'armes de destruction massive, les cyberattaques massives sur les infrastructures critiques, et les actions autonomes des modèles susceptibles de causer des préjudices graves. Pour ce faire, elle imposait aux développeurs un ensemble d'obligations préalables à l'entraînement des modèles (art. 22603), incluant des protections cybersécuritaires et des protocoles de sécurité détaillés, avec notamment l'obligation novatrice d'intégrer une capacité d'arrêt complet du système.
Le dispositif prévoyait un mécanisme d'audit annuel indépendant à partir de 2026, avec conservation des rapports pendant cinq ans minimum et accès du procureur général aux versions non expurgées. Il instituait également un Conseil des Modèles Frontière (art. 11547.6), organe indépendant composé de neuf experts, chargé d'actualiser les critères techniques de régulation. Une initiative particulièrement innovante concernait la création de "CalCompute", une infrastructure publique de cloud computing destinée à démocratiser l'accès aux ressources de calcul pour la recherche.
Le régime de sanctions se voulait dissuasif (art. 22606), avec des pénalités pouvant atteindre 30% du coût de calcul d'entraînement en cas de violation causant des préjudices. Des protections substantielles étaient également prévues pour les lanceurs d'alerte (art. 22607).
Le véto opposé par le Gouverneur Newsom le 29 septembre 2024 mérite une analyse approfondie, tant il révèle les défis fondamentaux de la régulation de l'IA. Sa décision repose sur plusieurs considérations majeures.
Premièrement, il critique fondamentalement l'approche méthodologique choisie. Pour Newsom, le critère de régulation basé uniquement sur le coût et la puissance de calcul des modèles est inadéquat. Il souligne qu'un modèle plus petit et spécialisé pourrait présenter des risques équivalents voire supérieurs à ceux des grands modèles visés par la loi. Cette approche quantitative risquerait ainsi de créer une fausse sensation de sécurité tout en négligeant des menaces réelles.
Deuxièmement, le Gouverneur pointe l'absence de prise en compte du contexte d'utilisation des systèmes d'IA. La proposition ne différencie pas si un système est déployé dans des environnements à haut risque, s'il implique des décisions critiques ou l'utilisation de données sensibles. Elle applique les mêmes standards stricts à toutes les fonctions, indépendamment de leur impact potentiel.
Troisièmement, Newsom plaide pour une approche réglementaire plus adaptative, fondée sur des preuves empiriques et scientifiques. Il cite les travaux en cours du U.S. AI Safety Institute et du National Institute of Science and Technology, ainsi que les analyses de risques menées par son administration en vertu d'un décret exécutif de septembre 2023. Cette position reflète une volonté de baser la régulation sur une compréhension approfondie des risques réels plutôt que sur des critères arbitraires.
Il est crucial de noter que ce véto ne traduit pas un rejet de toute régulation. Au contraire, le Gouverneur rappelle avoir signé une douzaine d'autres projets de loi ciblant des risques spécifiques liés à l'IA : menaces sur le processus démocratique, désinformation, deepfakes, protection de la vie privée en ligne et infrastructures critiques. Sa position reflète plutôt la recherche d'un équilibre entre protection et innovation, basé sur une évaluation empirique des risques.
Pour les juristes européens, ce débat californien entre particulièrement en résonance avec les discussions autour de l'AI Act, qui a précisément opté pour une approche fondée sur les risques. Il confirme la pertinence d'une telle approche, tout en soulignant les difficultés pratiques de sa mise en œuvre dans un contexte d'évolution technologique rapide.
Cette séquence législative californienne constitue ainsi un précédent particulièrement instructif pour les régulateurs du monde entier. Elle met en lumière les défis fondamentaux de la régulation de l'IA : comment définir le périmètre pertinent de régulation ? Comment garantir l'adaptabilité des normes face à une technologie en évolution rapide ? Comment protéger efficacement contre les menaces réelles sans entraver inutilement l'innovation ? Ces questions, loin d'être résolues, continueront d'alimenter le débat mondial sur la régulation de l'intelligence artificielle.
N.B Remerciements de l’auteur à Lou Dutreil, stagiaire DDG, pour son aide précieuse à la rédaction de cet article.
