Une Nouvelle Loi en Californie Exige des Évaluations des Risques liés à l’IA d’ici la Fin de 2027
Alors que les entreprises se précipitaient pour adopter l’intelligence artificielle tout au long de 2025, elles ont peut-être négligé un problème critique. L’IA n’a pas seulement créé de nouveaux risques, elle a également exposé des faiblesses d’infrastructure que de nombreuses organisations traînent depuis la fin des années 1990, selon des experts juridiques.
Urgence d’Agir sur les Évaluations des Risques
Le cabinet d’avocats Lowenstein Sandler exhorte désormais les entreprises à agir immédiatement sur les évaluations des risques liés à l’IA, avertissant que les conseils d’administration et les régulateurs s’attendent à des progrès visibles en matière de gouvernance de l’IA. Le cabinet souligne les pressions croissantes : des ingénieurs déployant des modèles plus rapidement que les équipes juridiques ne peuvent les examiner, des contrats fournisseurs qui ne précisent pas qui possède les données d’entraînement, et des régulateurs qui portent une attention particulière.
Cadre Obligatoire en Californie
Selon la nouvelle loi californienne, les entreprises doivent inclure des évaluations des risques liés à l’IA dans leur évaluation des risques d’entreprise d’ici le 31 décembre 2027. Le récent décret exécutif établissant un cadre politique national pour l’IA signale que l’application réglementaire fédérale pourrait s’intensifier, même si les États et le gouvernement fédéral s’affrontent sur la compétence.
Recommandations du Cabinet
Le cabinet recommande que les organisations adoptent le Cadre de Gestion des Risques de l’IA de l’Institut National des Normes et de la Technologie (NIST) comme base. Ce cadre, qui est devenu la norme de l’industrie, fournit des outils pratiques d’implémentation qui aident les équipes juridiques, de gestion des risques et d’ingénierie à travailler efficacement ensemble.
Importance de la Cartographie de l’Infrastructure
Le cabinet met en garde contre des scénarios catastrophiques, comme découvrir que l’IA de service client prenait des décisions d’éligibilité qu’elle n’était pas autorisée à prendre. Cela souligne l’importance de la cartographie de l’infrastructure. Les entreprises doivent savoir qui possède les sorties de l’IA lorsque les données clients sont entraînées par des ingénieurs, déployées par des équipes produit, et utilisées pour des décisions dont les départements juridiques sont responsables.
Approche en Trois Phases
Lowenstein Sandler décrit une approche en trois phases. Dans les trois premiers mois, les entreprises doivent :
- Cartographier l’utilisation de l’IA,
- Attribuer des propriétaires pour les risques et la conformité liés à l’IA,
- Créer un système d’enregistrement pour tous les systèmes d’IA en usage.
Les six à neuf mois suivants devraient se concentrer sur l’élargissement des protocoles de test, la révision des contrats pour des obligations spécifiques à l’IA, et la mise en œuvre de contrôles techniques. La dernière phase, de neuf à dix-huit mois et au-delà, implique une surveillance continue par le biais d’alertes, de tableaux de bord et de détection de dérives.
Attentes des Régulateurs
Les régulateurs comprennent que la perfection n’est pas immédiatement réalisable. Ils s’attendent à voir des progrès visibles et un récit d’amélioration crédible. Les entreprises devraient déjà avoir : un inventaire des systèmes d’IA avec des niveaux de risque et des propriétaires, des plans de réponse aux incidents mis à jour pour les risques spécifiques à l’IA, et une charte pour un comité de gouvernance de l’IA.
Développement de Politiques et Normes pour l’IA
Dans la première année, les organisations devraient développer des politiques et des normes pour l’IA, créer des protocoles écrits pour les tests et la validation, et établir des questionnaires de diligence raisonnable pour les fournisseurs. Pour les systèmes affectant l’emploi ou le logement, les protocoles de test peuvent devoir être mis en œuvre plus tôt plutôt que plus tard.
La documentation opérationnelle garantit que les entreprises disposent de connaissances suffisantes pour agir lorsque cela est nécessaire. Les organisations qui construisent des programmes de gouvernance de l’IA en 2026 devraient commencer par la cartographie de l’infrastructure et la charte de gouvernance pour se positionner en avance sur les exigences évolutives et s’assurer que leurs outils d’IA restent fiables et conformes.
À mesure que l’IA continue d’évoluer rapidement, le message des experts juridiques est clair : le moment de construire des cadres de gouvernance robustes est maintenant, et non lorsque les régulateurs frappent à la porte.