Ne régulez pas les modèles d’IA. Régulez l’utilisation de l’IA
À certains moments, il peut sembler que les efforts pour réguler et maîtriser l’IA sont omniprésents. En 2021, la Chine a émis les premières réglementations spécifiques à l’IA, se concentrant sur les fournisseurs et la gouvernance du contenu, appliquées par le contrôle des plateformes et les exigences de tenue de dossiers.
En Europe, la Loi sur l’IA de l’UE, datant de 2024, est déjà en cours de mise à jour et de simplification par la Commission européenne. L’Inde a chargé ses conseillers techniques de créer un système de gouvernance de l’IA, publié en novembre 2025. Aux États-Unis, les États légifèrent et appliquent leurs propres règles sur l’IA, alors même que le gouvernement fédéral, en 2025, a cherché à empêcher l’action des États et à assouplir les règles.
Cela soulève une question cruciale pour les ingénieurs et les décideurs américains : que peuvent réellement appliquer les États-Unis pour réduire les dommages dans le monde réel ? Ma réponse : réguler l’utilisation de l’IA, et non les modèles sous-jacents.
Pourquoi la régulation axée sur le modèle échoue
Les propositions de licence pour les formations de pointe, de restriction des poids ouverts ou d’exigence de permission avant de publier des modèles, comme la Loi sur la Transparence en IA de Californie, promettent un contrôle mais ne livrent que du théâtral. Les poids et le code des modèles sont des artefacts numériques ; une fois publiés, que ce soit par un laboratoire, une fuite ou un concurrent étranger, ils se répliquent à un coût quasi nul.
Essayer de contenir ces artefacts engendre deux résultats négatifs : les entreprises conformes se noient dans la paperasse tandis que les acteurs imprudents contournent les règles à l’étranger, sous terre, ou les deux.
Aux États-Unis, la licence de publication de modèles est également susceptible de heurter la loi sur la liberté d’expression. Les tribunaux fédéraux ont traité le code source des logiciels comme une expression protégée, donc tout système empêchant la publication de modèles d’IA serait vulnérable à des défis juridiques.
Une alternative pratique : réguler l’utilisation, proportionnée au risque
Un régime basé sur l’utilisation classe les déploiements par risque et adapte les obligations en conséquence. Voici un modèle de travail axé sur le maintien de l’application là où les systèmes touchent réellement les gens :
- Base : interaction générale avec le consommateur (discussion ouverte, écriture créative, assistance à l’apprentissage, productivité occasionnelle).
- Adhésion réglementaire : divulgation claire de l’IA au point d’interaction, publication de politiques d’utilisation acceptables, garde-fous techniques empêchant l’escalade vers des niveaux de risque plus élevés, et mécanisme permettant aux utilisateurs de signaler des résultats problématiques.
- Assistance à faible risque : rédaction, résumés, productivité de base.
- Adhésion réglementaire : divulgation simple, hygiène des données de base.
- Soutien à la décision à risque modéré : impactant des individus (tri de candidatures, dépistage des avantages, préqualification de prêts).
- Adhésion réglementaire : évaluation des risques documentée, supervision humaine significative, et une liste de matériaux d’IA composée au moins de la lignée du modèle, des évaluations clés, et des atténuations.
- Utilisations à fort impact dans des contextes critiques : soutien à la décision clinique, opérations d’infrastructure critique.
- Adhésion réglementaire : tests rigoureux avant déploiement liés à l’utilisation spécifique, surveillance continue, rapport d’incidents, et, lorsque cela est justifié, autorisation liée à la performance validée.
- Fonctions à double usage dangereuses : (par exemple, outils pour fabriquer des empreintes vocales biométriques pour contourner l’authentification).
- Adhésion réglementaire : confinement aux installations sous licence et opérateurs vérifiés ; interdiction des capacités dont le but principal est illégal.
Les systèmes activés par l’IA deviennent réels lorsqu’ils sont connectés à des utilisateurs, de l’argent, des infrastructures, et des institutions, et c’est là que les régulateurs devraient concentrer leur application : aux points de distribution (magasins d’applications et places de marché d’entreprise), accès aux capacités (cloud et plateformes d’IA), monétisation (systèmes de paiement et réseaux publicitaires), et transfert de risque (assureurs et contreparties contractuelles).
Pour les utilisations à haut risque, nous devons exiger une liaison d’identité pour les opérateurs, un contrôle des capacités aligné sur le niveau de risque, et un enregistrement à preuve de falsification pour les audits et les examens post-incident, assorti de protections de la vie privée. Nous devons demander des preuves pour les déclarations des déployeurs, maintenir des plans de réponse aux incidents, signaler les défauts matériels, et fournir un recours humain. Lorsque l’utilisation de l’IA entraîne des dommages, les entreprises doivent prouver leur diligence et faire face à la responsabilité des préjudices.
Cette approche crée des dynamiques de marché qui accélèrent la conformité. Si des opérations commerciales cruciales telles que l’approvisionnement, l’accès aux services cloud et l’assurance dépendent de la preuve que vous suivez les règles, les développeurs de modèles d’IA construiront selon des spécifications que les acheteurs peuvent vérifier. Cela élève le niveau de sécurité pour tous les acteurs du secteur, y compris les startups, sans donner un avantage à quelques grands acteurs licenciés.
Conclusion
Nous ne pouvons pas réguler significativement le développement de l’IA dans un monde où les artefacts se copient en temps réel et la recherche circule librement à travers les frontières. Mais nous pouvons garder les systèmes non vérifiés hors des hôpitaux, des systèmes de paiement, et des infrastructures critiques en régulant les utilisations, et non les modèles ; en appliquant des règles aux points de congestion ; et en appliquant des obligations qui s’échelonnent avec le risque.