Malgré l’incertitude entourant l’approche de l’administration Trump à l’égard de la politique en matière d’IA, les États avancent rapidement avec de nouvelles lois sur l’IA. Certaines d’entre elles se concentrent sur des cas d’usage spécifiques, comme le SB 164 de la Géorgie, qui interdit l’utilisation d’outils de prise de décision automatisée pour fixer les salaires des employés. D’autres se concentrent davantage sur les risques liés aux systèmes d’IA de pointe, comme le HB 3506 de l’Illinois, qui introduit des exigences d’évaluation et d’audit pour les développeurs de modèles de pointe.

Les législateurs s’intéressent également de plus en plus à l’utilisation de l’IA sous l’angle de la protection des consommateurs et de la lutte contre la discrimination. Bien que le Colorado soit, à ce jour, le seul État à avoir adopté une législation de protection des consommateurs liée à l’IA, le législateur texan a examiné une proposition globale, et des projets de loi similaires sont à l’étude dans un nombre croissant d’États.

En janvier, une législation similaire a été présentée à l’Assemblée de New York (A768). La New York AI Consumer Protection Act (AICPA), qui vise principalement à lutter contre la discrimination, suit la structure générale de la loi du Colorado et de la proposition texane : elle répartit les exigences entre les développeurs et les déployeurs, se concentre sur les risques des systèmes d’IA à haut risque et exige des politiques organisationnelles pour une utilisation responsable de l’IA.

Bien que certains commentateurs aient accueilli favorablement le projet de loi, notamment au regard des récents revirements de politique au niveau fédéral, d’autres l’ont critiqué comme étant excessivement centré sur les procédures. Par exemple, Jeffrey Sonnenfeld et Stephen Henriques estiment que les législateurs devraient davantage se concentrer sur l’application des lois existantes de protection des consommateurs aux systèmes d’IA.

Que couvre l’AICPA ?

L’AICPA réglementerait les développeurs et les déployeurs de systèmes d’IA « à haut risque ». Il définit les systèmes à haut risque comme ceux qui, lorsqu’ils sont déployés, prennent des décisions « conséquentes » ou constituent un facteur substantiel dans de telles décisions, lesquelles incluent celles ayant un « effet juridique matériel ou similaire » dans des domaines tels que :

-Inscription à un établissement d’enseignement ou possibilité éducative

-Emploi ou opportunité d’emploi

-Service financier ou de crédit

-Service public essentiel

-Service de santé

-Logement ou opportunité de logement

-Assurance

-Service juridique

Plusieurs utilisations de l’IA sont exclues de cette définition des systèmes à haut risque à titre d’exceptions.

Exigences pour les développeurs

L’AICPA exigerait des développeurs qu’ils fassent preuve d’une « diligence raisonnable » pour protéger les consommateurs contre les risques liés à la discrimination algorithmique et qu’ils décrivent publiquement leurs systèmes d’IA ainsi que leurs approches de prévention de la discrimination algorithmique. Elle leur imposerait également de fournir aux déployeurs une documentation relative aux systèmes à haut risque, comprenant les usages prévus, les usages préjudiciables et inappropriés, les données d’entraînement et les résultats attendus.

Les développeurs bénéficieraient d’une « présomption réfutable » de diligence raisonnable s’ils se soumettent à des audits indépendants réalisés par un tiers et effectués par un auditeur agréé par l’État. Ces audits se concentreraient sur le potentiel de discrimination à l’encontre des classes protégées.

Exigences pour les déployeurs

Les exigences imposées aux déployeurs comprendraient la publication de déclarations similaires sur l’utilisation de l’IA, la mise en place d’une politique et d’un programme de gestion des risques pour les systèmes d’IA à haut risque (équivalents au NIST AI Risk Management Framework ou à la norme ISO/IEC 42001), la réalisation d’évaluations annuelles de l’impact de l’IA pour les systèmes d’IA à haut risque, ainsi que la notification des consommateurs lorsqu’un système d’IA constitue un facteur substantiel dans la prise de décision.

En cas de décision défavorable, les déployeurs devraient également fournir la principale raison de la décision et offrir à la personne concernée la possibilité de mettre à jour toute information personnelle incorrecte utilisée lors de la prise de décision. Dans certaines circonstances, les déployeurs pourraient conclure un contrat avec les développeurs afin que ces derniers prennent en charge certaines de ces exigences de conformité.

Prochaines étapes

Si le projet de loi est adopté, il entrerait en vigueur le 1er janvier 2027. Bien que l’AICPA soit encore à un stade précoce du processus législatif, il est probable qu’il ne soit que le premier d’une série de projets de loi liés à l’IA que New York examinera.

‍Enzai est là pour vous accompagner

La plateforme de GRC de l’IA d’Enzai peut aider votre entreprise à déployer l’IA conformément aux meilleures pratiques ainsi qu’aux réglementations, normes et référentiels émergents, tels que l’AI Act de l’UE, le Colorado AI Act, le NIST AI RMF et la norme ISO/IEC 42001. Pour en savoir plus, contactez-nous ici.

Enzai est la plateforme de référence en gouvernance de l’IA pour les entreprises, conçue spécialement pour aider les organisations à passer d’une politique abstraite à une supervision opérationnelle. Notre plateforme de gestion des risques liés à l’IA fournit l’infrastructure spécialisée nécessaire pour gérer la gouvernance de l’IA agentique, maintenir un inventaire de l’IA complet et garantir la conformité à l’AI Act de l’UE. En automatisant des flux de travail complexes, Enzai permet aux entreprises d’accélérer l’adoption de l’IA avec confiance, tout en restant alignées sur des normes mondiales telles que ISO 42001 et NIST.