Les nouvelles réglementations sur l’IA inquiètent les dirigeants informatiques concernant de lourdes amendes de conformité
Plus de sept dirigeants informatiques sur dix s’inquiètent de la capacité de leurs organisations à respecter les exigences réglementaires lors du déploiement de l’IA générative, beaucoup craignant un patchwork potentiel de réglementations à venir.
Selon une récente enquête de Gartner, plus de 70 % des dirigeants informatiques ont désigné la conformité réglementaire comme l’un de leurs trois principaux défis liés au déploiement de l’IA générative. Moins d’un quart de ces dirigeants sont très confiants quant à la capacité de leur organisation à gérer les problèmes de sécurité et de gouvernance, y compris la conformité réglementaire, lors de l’utilisation de l’IA générative.
Une inquiétude croissante
Les dirigeants informatiques semblent préoccupés par la possibilité d’un nombre croissant de réglementations sur l’IA, dont certaines pourraient entrer en conflit, déclare Lydia Clougherty Jones, analyste senior chez Gartner.
« Le nombre de nuances juridiques, surtout pour une organisation mondiale, peut être écrasant, car les cadres annoncés par les différents pays varient considérablement », ajoute-t-elle.
Gartner prédit que les violations réglementaires liées à l’IA entraîneront une augmentation de 30 % des litiges juridiques pour les entreprises technologiques d’ici 2028. D’ici mi-2026, de nouvelles catégories de décisions illégales influencées par l’IA coûteront plus de 10 milliards de dollars en coûts de remédiation aux fournisseurs et utilisateurs d’IA.
Au début de la régulation
Les efforts gouvernementaux pour réglementer l’IA sont probablement à leurs débuts, l’IA Act de l’UE, entré en vigueur en août 2024, étant l’un des premiers grands textes législatifs ciblant l’utilisation de l’IA.
Alors que le Congrès américain a jusqu’à présent adopté une approche passive, quelques États américains ont adopté des réglementations sur l’IA. La loi sur l’IA du Colorado de 2024 exige des utilisateurs d’IA qu’ils maintiennent des programmes de gestion des risques et effectuent des évaluations d’impact, tout en protégeant les consommateurs contre la discrimination algorithmique.
Le Texas a également adopté sa propre loi sur l’IA, qui entre en vigueur en janvier 2026. La Texas Responsible Artificial Intelligence Governance Act (TRAIGA) oblige les entités gouvernementales à informer les individus lorsqu’ils interagissent avec une IA. La loi interdit également d’utiliser l’IA pour manipuler le comportement humain, comme inciter à l’automutilation ou participer à des activités illégales.
Cette loi prévoit des amendes civiles pouvant atteindre 200 000 dollars par violation ou 40 000 dollars par jour en cas de violations continues.
Les enjeux en Californie
En septembre dernier, le gouverneur de Californie, Gavin Newsom, a signé la loi sur la transparence dans l’IA de pointe, qui exige des grands développeurs d’IA qu’ils publient des descriptions sur la manière dont ils ont intégré les normes nationales, internationales et les meilleures pratiques consensuelles de l’industrie dans leurs cadres d’IA.
Cette loi, qui entre également en vigueur en janvier 2026, oblige les entreprises d’IA à signaler les incidents de sécurité critiques, y compris les cyberattaques, dans un délai de 15 jours, et prévoit des dispositions pour protéger les lanceurs d’alerte qui signalent les violations de la loi.
Les entreprises qui ne respectent pas les exigences de divulgation et de signalement risquent des amendes allant jusqu’à 1 million de dollars par violation.
Les réglementations informatiques de Californie ont un impact disproportionné sur les pratiques mondiales, car la population de l’État, d’environ 39 millions d’habitants, représente un nombre énorme de clients potentiels d’IA protégés par la loi. La Californie est également la capitale mondiale de l’IA, abritant le siège de 32 des 50 plus grandes entreprises d’IA dans le monde.
Préoccupations des CIO
Avec les États-Unis et d’autres pays susceptibles d’adopter des réglementations sur l’IA, les CIO ressentent naturellement une nervosité quant à la conformité lors du déploiement de la technologie. Dion Hinchcliffe, vice-président et responsable de la pratique pour le leadership numérique et les CIO chez Futurum Equities, déclare : « Le CIO est responsable de faire en sorte que cela fonctionne réellement, donc ils prêtent une attention particulière à ce qui est possible. »
Il ajoute : « Ils se demandent : ‘Quelle est la précision de ces choses ? Dans quelle mesure les données peuvent-elles être fiables ?’ »
Bien que certaines solutions de conformité réglementaire et de gouvernance existent, certains CIO craignent que ces outils ne parviennent pas à suivre le paysage en constante évolution des réglementations et des fonctionnalités de l’IA.
« Il n’est pas clair que nous disposons d’outils qui géreront constamment et de manière fiable les problèmes de gouvernance et de conformité réglementaire, et cela pourrait empirer, car les réglementations ne sont même pas encore arrivées », ajoute-t-il.
Un paysage réglementaire fragmenté
Tina Joros, présidente du groupe de travail sur l’IA de l’Electronic Health Record Association, partage également des préoccupations concernant la conformité en raison d’un paysage réglementaire fragmenté. Les diverses réglementations adoptées pourraient élargir un fossé numérique déjà important entre les grands systèmes de santé et leurs homologues plus petits et ruraux qui peinent à suivre l’adoption de l’IA.
« Les différentes lois adoptées par des États comme la Californie, le Colorado et le Texas créent un labyrinthe réglementaire qui complique la tâche des dirigeants informatiques en santé et pourrait avoir un effet dissuasif sur le développement futur et l’utilisation de l’IA générative », ajoute-t-elle.
Vers des outils de gouvernance
James Thomas, responsable de l’IA chez le fournisseur de logiciels ContractPodAi, s’accorde à dire que l’incohérence et le chevauchement entre les réglementations sur l’IA posent problème.
« Pour les entreprises mondiales, ce morcellement crée des maux de tête opérationnels — pas parce qu’elles ne souhaitent pas se conformer, mais parce que chaque réglementation définit des concepts comme la transparence, l’utilisation, l’explicabilité et la responsabilité de manière légèrement différente », explique-t-il.
Thomas recommande que les organisations adoptent une suite de contrôles et de systèmes de gouvernance lors du déploiement de l’IA. Dans de nombreux cas, un problème majeur est que l’adoption de l’IA a été guidée par des employés individuels utilisant des outils de productivité personnelle, créant ainsi une approche de déploiement fragmentée.
« Bien qu’efficaces pour des tâches spécifiques, ces outils n’ont jamais été conçus pour les complexités d’un déploiement d’entreprise réglementé. Ils manquent de gouvernance centralisée, fonctionnent en silos et rendent presque impossible d’assurer la cohérence, de suivre la provenance des données ou de gérer les risques à grande échelle », conclut-il.
Alors que les dirigeants informatiques luttent pour se conformer aux réglementations, Gartner recommande également de se concentrer sur l’entraînement des modèles d’IA à s’auto-corriger, à créer des procédures rigoureuses d’examen des cas d’utilisation, à augmenter les tests et le sandboxing des modèles, et à déployer des techniques de modération de contenu.
Les dirigeants informatiques doivent être en mesure de défendre leurs résultats d’IA, ce qui nécessite une compréhension approfondie du fonctionnement des modèles, conclut Clougherty Jones. Dans certains scénarios à risque, cela peut signifier faire appel à un auditeur externe pour tester l’IA.
« Vous devez défendre les données, vous devez défendre le développement du modèle, le comportement du modèle, puis vous devez défendre la sortie. Beaucoup de fois, nous utilisons des systèmes internes pour auditer la sortie, mais si quelque chose est vraiment à haut risque, pourquoi ne pas faire appel à une partie neutre pour pouvoir l’auditer ? Si vous défendez le modèle et que vous êtes celui qui a effectué les tests vous-même, cela n’est défendable que jusqu’à un certain point. »