L'Assemblée de New York examine la loi sur la protection des consommateurs basée sur l'IA

Malgré l'incertitude quant à l'approche de l'administration Trump en matière de politique en matière d'IA, les États vont de l'avant avec de nouvelles lois sur l'IA. Certains d'entre eux sont axés sur des cas d'utilisation spécifiques, comme celui de la Géorgie NUMÉRO DE SÉRIE 164, qui interdit l'utilisation d'outils de prise de décision automatisés pour fixer les salaires des employés. D'autres se concentrent davantage sur les risques liés aux systèmes d'IA de pointe, comme celui de l'Illinois PAR 3506, qui introduit des exigences en matière d'évaluation et d'audit pour les développeurs de modèles de pointe.

Les législateurs examinent également de plus en plus l'utilisation de l'IA sous l'angle de la protection des consommateurs et de la lutte contre la discrimination. Bien que le Colorado soit le seul État à avoir édictée législation sur la protection des consommateurs liée à l'IA, la législature du Texas a adopté une proposition complète, des projets de loi similaires étant à l'étude dans un nombre croissant d'États.

En janvier, une législation similaire a été présentée à l'Assemblée de New York (A768). La loi de New York sur la protection des consommateurs en matière d'IA (AICPA), qui vise principalement à lutter contre la discrimination, suit la structure générale de la loi du Colorado et de la proposition du Texas : elle divise les exigences entre les développeurs et les déployeurs, se concentre sur les risques des systèmes d'IA à haut risque et impose des politiques organisationnelles pour une utilisation responsable de l'IA.

Bien que certains commentateurs aient accueilli favorablement le projet de loi, compte tenu notamment des récents revirements politiques au niveau fédéral, d'autres l'ont critiqué, le jugeant trop axé sur la procédure. Par exemple, Jeffrey Sonnenfeld et Stephen Henriques crois que les législateurs devraient se concentrer davantage sur l'application des lois existantes en matière de protection des consommateurs aux systèmes d'IA.

Que couvre l'AICPA ?

L'AICPA réglementerait les développeurs et les déployeurs de systèmes d'IA « à haut risque ». Il définit les systèmes à haut risque comme ceux qui, une fois déployés, prennent ou jouent un rôle important dans la prise de « décisions consécutives », y compris ceux qui ont un « effet juridique important ou similaire » dans des domaines tels que :

-Inscription ou opportunité de formation

-Emploi ou opportunité d'emploi

-Service financier ou de prêt

-Service gouvernemental essentiel

-Service de santé

-Logement ou opportunité de logement

-Assurance

-Service juridique

Plusieurs utilisations de l'IA sont exclues de cette définition des systèmes à haut risque en tant qu'exceptions.

Exigences pour les développeurs

L'AICPA exigerait des développeurs qu'ils fassent preuve d'une « prudence raisonnable » pour protéger les consommateurs contre les risques liés à la discrimination algorithmique et qu'ils décrivent publiquement leurs systèmes d'IA et leurs approches visant à prévenir la discrimination algorithmique. Cela les obligerait également à fournir aux déployeurs une documentation sur les systèmes à haut risque, qui comprend les utilisations prévues, les utilisations nuisibles et inappropriées, les données de formation et les résultats attendus.

Les développeurs bénéficieront d'une « présomption réfutable » de diligence raisonnable s'ils se soumettent à des audits tiers indépendants réalisés par un auditeur agréé par le gouvernement. Ces audits seraient axés sur le risque de discrimination à l'encontre des classes protégées.

Exigences pour les déployeurs

Les exigences pour les déployeurs incluraient la publication de déclarations similaires sur l'utilisation de l'IA, la mise en place d'une politique et d'un programme de gestion des risques pour les systèmes d'IA à haut risque (équivalent au cadre de gestion des risques liés à l'IA du NIST ou à la norme ISO/IEC 42001), la réalisation d'évaluations annuelles de l'impact de l'IA pour les systèmes d'IA à haut risque et la notification aux consommateurs lorsqu'un système d'IA joue un rôle important dans la prise de décision.

En cas de décision défavorable, les déployeurs devraient également indiquer la raison principale de la décision et donner la possibilité au consommateur concerné de mettre à jour toute information personnelle incorrecte utilisée lors de la prise de décision. Dans certaines circonstances, les déployeurs pourraient passer des contrats avec les développeurs, afin que ces derniers se conforment à certaines de ces exigences de conformité.

Prochaines étapes

Si le projet de loi est adopté, il entrera en vigueur le 1er janvier 2027. Bien que l'AICPA n'en soit qu'à ses débuts dans le processus législatif, il ne s'agit probablement que du premier d'une série de projets de loi liés à l'IA que New York examinera.

‍Enzai est là pour vous aider

La plateforme AI GRC d'Enzai peut aider votre entreprise à déployer l'IA conformément aux meilleures pratiques et aux réglementations, normes et cadres émergents, tels que la loi européenne sur l'IA, la loi du Colorado sur l'IA, le NIST AI RMF et la norme ISO/IEC 42001. Pour en savoir plus, contactez-nous ici.