Malgré l'incertitude autour de l'approche de l'administration Trump concernant la politique de l'IA, les États avancent avec de nouvelles lois sur l'IA. Certaines de ces lois sont axées sur des cas d'utilisation spécifiques, comme le bill de Géorgie SB 164, qui interdit l'utilisation d'outils de décision automatisés pour fixer les salaires des employés. D'autres sont plus centrées sur les risques des systèmes d'IA de pointe, telles que le bill de l'Illinois HB 3506, qui introduit des exigences d'évaluation et d'audit pour les développeurs de modèles de pointe.

Les législateurs s'intéressent également de plus en plus à l'utilisation de l'IA du point de vue de la protection des consommateurs et de la lutte contre la discrimination. Bien que le Colorado soit le seul État à ce jour à avoir promulgué une loi sur la protection des consommateurs liée à l'IA, la législature du Texas a adopté une proposition globale, avec des projets de loi similaires à l'étude dans un nombre croissant d'États.

En janvier, une législation similaire a été introduite dans l'Assemblée de New York (A768). Le New York AI Consumer Protection Act (AICPA), qui concerne principalement la lutte contre la discrimination, reprend la structure générale de la loi du Colorado et de la proposition du Texas : elle divise les exigences entre les développeurs et les déployeurs, se concentre sur les risques des systèmes d'IA à haut risque, et exige des politiques organisationnelles pour une utilisation responsable de l'IA.

Bien que certains commentateurs aient accueilli le projet de loi, notamment en considérant les récents retournements de politique au niveau fédéral, d'autres l'ont critiqué comme trop axé sur la procédure. Par exemple, Jeffrey Sonnenfeld et Stephen Henriques croient que les législateurs devraient se concentrer davantage sur l'application des lois existantes sur la protection des consommateurs aux systèmes d'IA.

Que couvre l'AICPA?

L'AICPA réglementerait les développeurs et les déployeurs de systèmes d'IA «à haut risque». Elle définit les systèmes à haut risque comme ceux qui, lorsqu'ils sont déployés, prennent ou sont un facteur substantiel dans la prise de «décisions conséquentes», qui incluent celles ayant un «effet juridique ou similaire matériel» dans des domaines tels que :

-Inscription ou opportunité éducative

-Emploi ou opportunité d'emploi

-Service financier ou de prêt

-Service gouvernemental essentiel

-Service de santé

-Logement ou opportunité de logement

-Assurance

-Service juridique

Plusieurs utilisations de l'IA sont exemptées de cette définition des systèmes à haut risque.

Exigences pour les développeurs

L'AICPA obligerait les développeurs à agir avec «soin raisonnable» pour protéger les consommateurs des risques liés à la discrimination algorithmique et à décrire publiquement leurs systèmes d'IA et leurs approches pour prévenir la discrimination algorithmique. Elle les obligerait également à fournir aux déployeurs une documentation sur les systèmes à haut risque, qui inclut les utilisations prévues, les utilisations nuisibles et inappropriées, les données d'entraînement, et les résultats escomptés.

Les développeurs auront une «présomption réfutable» de soin raisonnable s'ils subissent des audits indépendants par des auditeurs approuvés par le gouvernement. De tels audits seraient centrés sur le potentiel de discrimination contre les classes protégées.

Exigences pour les déployeurs

Les exigences pour les déployeurs incluraient la publication de déclarations similaires d'utilisation de l'IA, la mise en place d'une politique et d'un programme de gestion des risques pour les systèmes d'IA à haut risque (équivalent au cadre de gestion des risques de l'IA du NIST ou à l'ISO/IEC 42001), la réalisation d'évaluations d'impact annuel de l'IA pour les systèmes d'IA à haut risque, et la notification aux consommateurs lorsqu'un système d'IA est un facteur substantiel dans la prise de décision.

Dans le cas d'une décision défavorable, les déployeurs devraient également fournir la raison principale de la décision et offrir une opportunité au consommateur impacté de mettre à jour toute information personnelle incorrecte utilisée lors de la prise de décision. Dans certaines circonstances, les déployeurs pourraient conclure des contrats avec les développeurs, afin que ces derniers prennent en charge certaines de ces exigences de conformité.

Prochaines étapes

Si le projet de loi est promulgué, il prendrait effet le 1er janvier 2027. Bien que l'AICPA soit encore à un stade précoce du processus législatif, il est probablement le premier d'une série de projets de loi liés à l'IA que New York envisagera.

‍Enzai est là pour vous aider

La plateforme GRC IA d'Enzai peut aider votre entreprise à déployer l'IA conformément aux meilleures pratiques et aux réglementations, normes et cadres émergents, tels que l'EU AI Act, la Colorado AI Act, le NIST AI RMF et l'ISO/IEC 42001. Pour en savoir plus, contactez-nous ici.