Étude sur le projet de clause d’IA de la GSA : La gouvernance transformée en mandat contractuel
Depuis des mois, la majorité des discussions sur la gouvernance de l’IA se déroulent dans des documents stratégiques, des principes éthiques et des présentations aux conseils d’administration. La clause proposée par la General Services Administration (GSA) change la donne. Si elle est adoptée, la GSAR 552.239-7001 fera de la gouvernance de l’IA une exigence contractuelle stricte pour les entreprises vendant des capacités d’IA au gouvernement fédéral, avec des implications significatives pour les responsables de la conformité, les équipes juridiques, les leaders des achats et les professionnels des risques liés aux tiers.
Cette ébauche dépasse largement le cadre des entrepreneurs gouvernementaux. Elle signale une évolution vers une régulation de l’IA qui s’éloigne des engagements volontaires pour tendre vers des contrôles, une documentation et une responsabilité applicables.
Une clause agressive
La clause proposée est particulièrement agressive. Un Client Alert de Holland & Knight souligne qu’elle accorderait au gouvernement des droits de propriété étendus sur les "Données gouvernementales" et les "Développements personnalisés". Elle interdirait aux entrepreneurs d’utiliser les données gouvernementales pour former ou améliorer des modèles à des fins commerciales ou pour d’autres clients, imposerait une exigence de signalement d’incidents dans les 72 heures, et tiendrait les entrepreneurs principaux directement responsables de la conformité de leurs "fournisseurs de services" en aval.
De plus, elle exigerait l’utilisation de "Systèmes d’IA américains", imposerait un préavis avant tout changement de fournisseur matériel, et exigerait des formats ouverts et des APIs pour assurer la portabilité et l’interopérabilité.
Une approche de gouvernance par la force
Jessica Tillipman, dans un article de Lawfare, résume bien le problème central. Elle soutient que la GSA a identifié un véritable problème de gouvernance dans l’approvisionnement en IA, mais tente de le résoudre par ce qu’elle appelle une "gouvernance par le marteau". Cette phrase est mémorable car elle met en lumière la tension existante. Le gouvernement a raison de se concentrer sur le contrôle des données, la dépendance aux fournisseurs, les chaînes d’approvisionnement en IA et la surveillance des performances. Pourtant, l’ébauche tente d’aborder toutes ces préoccupations à la fois, à travers une seule clause qui s’écarte nettement des pratiques commerciales habituelles.
Conséquences pour les professionnels de la conformité
Pour les professionnels de la conformité, la dimension des risques liés aux tiers est peut-être la plus importante. L’ébauche définit les "fournisseurs de services" de manière suffisamment large pour inclure les plateformes commerciales d’IA en amont et les fournisseurs de modèles, même s’ils ne sont pas des sous-traitants traditionnels. Tillipman note que l’entrepreneur principal peut être responsable de garantir la conformité des fournisseurs en amont, dont le seul lien avec le contrat fédéral est un accord d’API. Ce n’est pas un détail mineur. Cela signifie que la conformité en matière d’IA pourrait de plus en plus dépendre de la visibilité d’une entreprise sur l’ensemble de sa pile technologique, des obligations de transfert applicables, et de la possibilité de tester ces obligations.
Aspects de la gouvernance des données
Les aspects de la gouvernance des données sont tout aussi conséquents. La définition proposée de "Données gouvernementales" s’étend au-delà des invites et des résultats pour inclure les métadonnées, les journaux, les données dérivées et les informations liées à l’utilisation. Tillipman souligne cela comme une préoccupation concernant l’"avantage informationnel" que les fournisseurs obtiennent de l’utilisation gouvernementale, y compris les comportements intégrés dans les interactions du système. D’un point de vue de la conformité, il s’agit d’un développement majeur. Les régulateurs et les responsables des achats ne se concentrent plus uniquement sur la protection des données, mais sur le fait que l’utilisation elle-même crée une valeur exploitable qui doit être régulée.
Provisions sur la portabilité
Les dispositions sur la portabilité méritent également une attention particulière. L’ébauche exige des formats de données ouverts et standardisés et interdit les approches propriétaires qui créent une dépendance ou nécessitent des licences supplémentaires pour quitter un système. C’est une leçon d’approvisionnement fédéral ayant une grande valeur pour le secteur privé. La gouvernance de l’IA ne concerne pas seulement l’approbation d’un outil dès le premier jour. Elle doit également préserver la capacité de l’organisation à surveiller les changements, à migrer des données et à se désengager d’un fournisseur sans chaos opérationnel.
Préoccupations soulevées par le projet
Le langage relatif aux "Systèmes d’IA américains" semble difficile à appliquer dans un marché construit sur des équipes de développement globales, des composants open-source et des chaînes d’approvisionnement stratifiées. Les "Principes d’IA impartiale" introduisent une incertitude supplémentaire en combinant des attentes de performance avec une terminologie politiquement chargée et des droits d’évaluation gouvernementaux qui peuvent dépendre de méthodologies non divulguées.
Conclusion
La leçon plus large est claire. La gouvernance de l’IA devient une question de contrat, de sourcing et de contrôle. Les responsables de la conformité ne devraient pas attendre une règle finale avant d’agir. Ils devraient déjà se demander si leurs organisations peuvent cartographier les fournisseurs d’IA, suivre les flux de données, documenter les changements de modèles, gérer les réponses aux incidents et prouver la surveillance avec des preuves crédibles. C’est dans cette direction que se dirige ce projet, et c’est là que le marché pourrait bientôt suivre.