Depuis la promulgation en Californie, en septembre 2025, d'une loi sur la transparence des risques liés aux grandes IA - texte entré en vigueur le 1er janvier -, il était attendu une démarche analogue de la gouverneure de l'État de New York. C'est chose faite depuis le 19 décembre. Kathy Hochul a signé la loi dite Raise Act (Responsible AI safety and education act), qui définit des cadres de sécurité et de transparence pour les modèles d'IA de pointe. Le règlement sera effectif le 1er janvier 2027. Des textes qui s'engouffrent dans le sillage de l'AI Act européen, et viennent surtout contrer les orientations du président des États-Unis, qui donnent la priorité aux desiderata des fournisseurs de solutions. Protection de la société face à l'IA versus protection de l'économie high tech américaine.

La signature de la loi new-yorkaise a ainsi pris un tour plus symbolique que celle de l'automne en Californie, puisqu'elle est intervenue quelques jours à peine après celle, le 11 décembre, d'un décret de régulation fédérale de l'IA par Donald Trump. La proximité du président des États-Unis avec les géants de la tech est de notoriété publique et, pour lui, pas question d'entraver l'activité du secteur, en particulier face à la menace chinoise. Le décret présidentiel vise, dans le cadre du projet « One rulebook », à centraliser la régulation de l'IA au niveau fédéral, afin de la simplifier, empêchant les États de s'emparer de cette régulation. Les États-Unis doivent créer dès ce mois de janvier un groupe de travail chargé de contester directement les lois des États dans le cadre de litiges en matière d'IA. Sans surprise, l'initiative a été applaudie dans la Silicon Valley, mais fustigée par les États qui rappellent qu'un simple décret ne peut les priver d'une telle prérogative. Cependant, souverains en la matière, ils seraient une trentaine à avoir pris des mesures similaires à celles de New York et de la Californie.

New York s'inspire de la loi californienne sur l'IA

Le Raise Act s'attaque ainsi directement aux risques inhérents aux IA les plus puissantes. Pour ce faire, il s'inspire ouvertement de son cousin californien le Transparency in Frontier Artificial Intelligence Act ou loi SB-53. « Cette loi s'appuie sur le cadre récemment adopté par la Californie, a confirmé Kathy Hochul lors de l'annonce de la signature du texte, créant ainsi une référence unifiée parmi les principaux États technologiques du pays, alors que le gouvernement fédéral est à la traîne et ne parvient pas à mettre en oeuvre des réglementations de bon sens qui protègent le public ». Une déclaration abondée par le sénateur démocrate de l'État de New York, Andrew Gounardes, qui s'est adressé directement aux grands de l'IA : « les géants de la tech pensent qu'il est acceptable de privilégier leurs profits au détriment de notre sécurité ; nous ne sommes pas d'accord. Avec cette loi, nous affirmons clairement que l'innovation technologique et la sécurité ne sont pas incompatibles. » Selon l'ONG et think tank de politique internationale Carnegie Endowment for International Peace, l'adoption de la loi SB-53 - à laquelle on peut désormais ajouter celle de l'État de New York - aura effectivement des répercussions nationales aux États-Unis en matière d'IA, probablement en commençant au niveau des États.

Ces règlements exigent de la part des éditeurs une transparence sur les risques, par l'identification et la prévention des dangers les plus graves (blessures, mort ou catastrophe engendrés par cette technologie). La loi SB-53, promulguée par le gouverneur de Californie, Gavin Newsom, et sur laquelle la loi new-yorkaise est calquée, contraint ainsi les éditeurs à rendre publics certains incidents de sécurité et à expliquer la façon dont ils comptent gérer certains risques qualifiés de « catastrophiques ». Il vise également à protéger les lanceurs d'alerte au sein même de ces entreprises technologiques. Le niveau de transparence exigé réside principalement dans l'évaluation des risques, ainsi que dans la capacité de prévention et de résolution des conséquences. La transparence des modèles et des algorithmes, qui permettraient une évaluation objective et indépendante des risques, n'est pas plus au programme qu'en Europe avec l'AI Act. La possibilité d'un audit extérieur des éditeurs a d'ailleurs été retirée de la loi SB-53 avant sa validation.

Seules les très grandes IA sont concernées

La loi concerne principalement la « frontier AI », autrement les IA les plus puissantes. Celles qui exploitent des volumes massifs de données et une puissance de calcul tout aussi massive, pour un éventail très large de fonctions au service de tous les secteurs de l'économie, et donc avec un impact et des risques potentiellement majeurs. La plupart des exigences incluses dans la loi SB-53 concernent ainsi des entreprises avec à la fois un CA de plus de 500 M$ et un modèle entraîné avec plus de 10^26 Tflops de puissance.

Ce texte est une version allégée d'un règlement antérieur, proposé en 2024 et alors refusé par le gouverneur de Californie, car il imposait trop de contraintes aux éditeurs. Il exigeait, par exemple, d'inclure des mécanismes d'arrêt d'urgence au sein même des modèles et des dispositifs de vérification d'identité (KYC, Know your client) dans le cloud. Selon les analystes du Carnegie Endowment for International Peace, seuls sont pour l'instant concernées les offres les plus récentes d'OpenAI et de xAI. L'ONG regrette ainsi que la définition d'éditeur de frontier AI exclut des modèles considérés comme tout aussi dangereux, comme le Chinois Deepseek, et occulte le fait que des modèles tout aussi risqués, voire plus dangereux, puissent désormais être conçus avec des puissances inférieures à 10^26 Tflops. La loi SB-53 impose cependant à l'État de Californie d'établir ,à partir de 2027, un rapport annuel des déclarations des éditeurs pour éventuellement réévaluer ces seuils.

Perte de contrôle ou fabrication d'arme chimique

Comme l'AI Act européen, le texte définit les risques qu'elle considère comme les plus graves liés à l'IA. Les « risques catastrophiques » incluant la possibilité que « le développement, le stockage ou l'utilisation d'un modèle de pointe contribue de manière significative à plus de cinquante décès ou blessures graves, ou à plus d'un milliard de dollars de dommages économiques résultant de la création ou du lancement commercial, assistés par l'IA, d'une arme chimique, biologique, radiologique ou nucléaire ». Le texte cite également « les cyberattaques ou les crimes graves perpétrés par un système d'IA sans véritable supervision humaine ; les activités d'IA qui échappent au contrôle de leur développeur ou de leur utilisateur ». Les entreprises devront déclarer dans des délais de 72 heures à 2 semaines tout incident critique de sécurité - ayant entrainé un décès, des blessures corporelles, une catastrophe avérée - au bureau des services d'urgence de Californie (Office of emergency services) ou à celui de l'État de New York, par exemple.

Les cadres de sécurité demandés aux éditeurs par la loi californienne concernent les tests d'évaluation de risques de dommages catastrophiques ou la réaction à des incidents dangereux. Les évaluations et mesures utilisées doivent être expliquées et justifiées. Autant d'exigences qui s'appliquent également lorsque les modèles sont utilisés par les éditeurs uniquement en interne, avec l'évaluation, par exemple, du risque devoir l'IA contourner les règles de l'entreprise. Enfin, ces cadres doivent être mis à jour chaque année. L'ensemble des éditeurs d'IA devront déclarer chaque nouveau modèle mis à disposition en Californie avec des éléments sur les usages, les langages utilisés, les conditions d'utilisations. Les éditeurs de Frontier AI devront y ajouter des évaluations des risques catastrophiques.

Protéger les lanceurs d'alerte des sociétés d'IA

Enfin, la protection des lanceurs d'alerte définie dans la loi SB-53 exige la création par les grands éditeurs de canaux de signalement protégés et anonymes pour les employés chargés des risques d'incidents critiques, sans possibilité de représailles en cas de signalement portant sur des motifs réputés raisonnables. Les grands éditeurs qui ne respecteront pas ces obligations de déclaration s'exposent à des amendes pouvant atteindre 1 M$ par infraction.