S'y retrouver dans les réglementations américaines en matière d'IA : guide de conformité à la réglementation en matière d'IA

Introduction : Le paysage de la conformité réglementaire en matière d'IA

Contrairement à l'Union européenne, les États-Unis n'ont pas encore promulgué de loi fédérale complète pour la conformité réglementaire en matière d'IA. Cela ne veut pas dire que l'Amérique est un « Far West » de l'IA. Un nombre croissant d'États américains ont adopté des lois spécifiques à l'IA, tandis que les lois existantes, notamment la FTC Act, l'Americans with Disabilities Act (ADA) et les lois sur la protection des consommateurs, sont de plus en plus appliquées aux systèmes d'IA.

Ces cadres façonnent collectivement la façon dont les organisations gèrent Sécurité des données de l'IA, prévenir la discrimination algorithmique et éviter les pratiques commerciales déloyales ou trompeuses.

Dans ce blog, nous explorons comment la disparité de la réglementation américaine en matière d'IA affecte les entreprises, ce à quoi ressemble la conformité dans les différents États et comment les entreprises peuvent aligner leurs stratégies de gouvernance sur l'évolution des attentes légales.

Comprendre la mosaïque : conformité réglementaire en matière d'IA au niveau des États

Du point de vue des décideurs politiques, le plus grand risque de l'IA est sa prise de décision autonome. Ces systèmes peuvent agir indépendamment, souvent de manière opaque, et avoir de profondes répercussions sur les droits des personnes.

Pour équilibrer les risques et l'innovation, la loi sur l'IA de l'UE a établi un cadre fondé sur les risques. Bien que le gouvernement fédéral américain n'ait pas encore emboîté le pas, les lois sur l'IA au niveau des États montrent la voie.

Colorado : un modèle pour une réglementation complète de l'IA

La Loi anti-discrimination en matière d'IA (CAIA) du Colorado, promulguée en 2024, représente l'exemple le plus complet de cadre réglementaire de l'IA aux États-Unis.

Principales dispositions de la CAIA :

• Les systèmes d'IA à haut risque sont définis comme ceux capables de prendre des « décisions conséquentes » dans des domaines tels que l'emploi, la santé, l'éducation, le logement et les finances.
  
  
• Les développeurs et les déployeurs doivent documenter les risques, s'aligner sur des cadres reconnus tels que le NIST AI RMF ou ISO 42001, et effectuer des évaluations annuelles de l'impact de l'IA.
  
  
• Les droits des individus incluent la capacité de savoir quand l'IA contribue à une décision, de corriger les erreurs et de faire appel à un évaluateur humain.
  
  

L'approche du Colorado pourrait devenir un modèle pour d'autres États, reflétant l'attente croissante selon laquelle les développeurs d'IA intègrent des mécanismes de sécurité et de responsabilité des données d'IA dans la conception et le déploiement.

Des voies divergentes : comment les États définissent la conformité à l'IA

Au-delà du Colorado, des États tels que l'Utah, le Texas, la Californie et New York ont adopté des lois plus strictes régissant la conformité réglementaire en matière d'IA dans des secteurs spécifiques.

Utah

Exige des déployeurs qu'ils informent les utilisateurs lors d' « interactions à haut risque », notamment lors de la collecte de données biométriques, financières ou de santé.

Texas

Interdit aux entités gouvernementales et privées d'utiliser l'IA à des fins de notation sociale ou de surveillance biométrique, et interdit les systèmes qui manipulent ou nuisent à des individus.

Ces exemples mettent en lumière une tendance clé. La transparence et la divulgation sont en train de devenir des principes de conformité universels. Les organisations sont de plus en plus tenues de divulguer quand les utilisateurs interagissent avec l'IA et de s'assurer que les résultats sont clairement étiquetés comme du contenu généré par l'IA.

Comment les lois existantes façonnent la conformité réglementaire en matière d'IA

Alors que certains Lois relatives à la conformité de sont nouveaux, de nombreux cadres juridiques limitent déjà les pratiques d'IA. Les tribunaux et les régulateurs appliquent les lois sur la protection des consommateurs, la lutte contre la discrimination et la confidentialité à l'IA, créant ainsi un environnement de conformité évolutif à plusieurs niveaux.

1. Protection des consommateurs et sécurité des données issues de l'IA

Des agences telles que la FTC et le CFPB répriment les pratiques manipulatrices ou trompeuses de l'IA, y compris les « modèles obscurs ». Il s'agit notamment d'algorithmes de personnalisation du contenu sur les plateformes de réseaux sociaux qui orientent les utilisateurs vulnérables vers des contenus dangereux, ainsi que d'applications de finances personnelles alimentées par l'IA qui promettent des économies ou des retours sur investissement mais entraînent des frais de découvert ou d'autres coûts pour les utilisateurs finaux.

2. Lutte contre la discrimination en matière d'emploi

Des cas tels que Mobley contre Workday démontrer comment les outils de recrutement pilotés par l'IA peuvent entraîner des poursuites en vertu de la loi sur les droits civils, de l'ADA et de la loi sur la discrimination fondée sur l'âge en matière d'emploi. Les tribunaux signalent que les fournisseurs d'IA peuvent être traités comme des employeurs et tenus pour responsables de biais algorithmique.

3. Confidentialité, protection des données et reconnaissance faciale

Dans ACLU contre Clearview AI, le tribunal a jugé que le grattage d'images publiques pour entraîner un modèle de reconnaissance faciale violait la loi sur la confidentialité des informations biométriques (BIPA) de l'Illinois. De même, Rite Aid a fait l'objet d'une action coercitive de la FTC pour avoir utilisé la reconnaissance faciale de manière discriminatoire.

Ces cas renforcent la nécessité de solides contrôles de sécurité des données d'IA, de politiques de collecte de données transparentes et de cadres de gouvernance éthiques de l'IA.

Propriété intellectuelle et utilisation équitable : la prochaine frontière

Les développeurs d'IA font également face à des poursuites pour violation du droit d'auteur et utilisation de données dans le cadre de la formation de modèles.

• Thomson Reuters contre Ross Intelligence: La copie de notes légales pour former un produit concurrent n'était pas considérée comme une utilisation équitable.
  
  
• Bartz c. Anthropic: L'utilisation de matériel protégé par le droit d'auteur pour former un LLM a été considérée comme une utilisation équitable, car les résultats étaient transformateurs et non des reproductions.
  
  

Les décisions partagées illustrent un défi majeur pour AI-SPM (Gestion de la sécurité et de la confidentialité de l'IA). Les développeurs doivent s'assurer que les entrées de données sont conformes, traçables et issues de sources éthiques.

L'avenir de la conformité réglementaire en matière d'IA

Des mesures fédérales sont peut-être prises, mais pour l'instant, la conformité est principalement dictée par les États et les lois en vigueur. Les organisations doivent s'attendre à une structure de gouvernance à plusieurs niveaux combinant :

• Transparence: Divulgation claire de l'utilisation de l'IA et des pratiques de collecte de données.
  
  
• Explicabilité: capacité à décrire la logique du modèle et les sources de données.
  
  
• Responsabilité: Cadres de gouvernance alignés sur les normes NIST AI RMF, ISO 42001 ou AI-SPM.
  
  
• Sécurité: Mise en œuvre des principes de sécurité dès la conception et de confidentialité dès la conception.
  
  
• Équité: Éviter les conceptions trompeuses, les préjugés ou les préjudices causés aux populations vulnérables.
  
  

Prenez une longueur d'avance sur la conformité à l'IA

À mesure que la réglementation de l'IA évolue, les organisations qui adoptent de manière proactive des cadres de conformité réglementaire en matière d'IA bénéficieront d'un avantage concurrentiel, en minimisant les risques juridiques tout en gagnant la confiance des utilisateurs.

La plateforme de sécurité IA de Cyera permet aux entreprises de gérer la sécurité et la conformité des données d'IA de manière holistique, en s'alignant sur les normes mondiales et en protégeant les informations sensibles contre les abus.

Demandez une démo pour découvrir comment Cyera peut aider votre organisation à rester en conformité et en sécurité à l'ère de l'IA.