De la transparence à la supervision : la loi RAISE de New York élève la barre pour les développeurs d’IA de pointe
Le 19 décembre 2025, la gouverneure de New York, Kathy Hochul, a signé le projet de loi A6453-A, connu sous le nom de Loi sur la sécurité et l’éducation de l’IA responsable (RAISE Act). Cette législation établit un cadre ciblé régissant le développement et le déploiement des modèles d’intelligence artificielle les plus avancés, avec un accent particulier sur la sécurité de l’IA, la transparence et la prévention ainsi que le signalement d’incidents entraînant des dommages catastrophiques.
La RAISE Act n’inclut pas de phase de mise en œuvre progressive des obligations. Au lieu de cela, la loi entrera pleinement en vigueur le 1er juillet 2027, avec certaines exigences fonctionnant sur une base continue ou annuelle une fois en vigueur.
Obligations imposées par la RAISE Act
La RAISE Act impose des obligations affirmatives en matière de sécurité, de documentation, d’audit et de signalement des incidents aux grands développeurs de modèles d’IA de pointe, sous l’autorité du procureur général de New York. Elle ne régule pas les utilisateurs d’IA ou les déployeurs d’IA en tant que classe distincte.
Lors de l’annonce de la législation, la gouverneure Hochul a indiqué que le projet de loi reflète des amendements convenus visant à aligner l’approche de New York avec celle de la loi californienne SB 53, la Loi sur la transparence dans l’intelligence artificielle de pointe (TAFAIA). Par exemple, la loi finale se concentre sur les modèles d’IA de pointe les plus capables et concentre les obligations de conformité sur les grands développeurs, au lieu de réguler plus largement les systèmes d’IA ou les déployeurs.
Pourquoi la RAISE Act est-elle importante ?
La RAISE Act est significative pour trois raisons principales :
- Elle dépasse les obligations purement basées sur la transparence en exigeant des grands développeurs de mettre en œuvre, documenter et auditer des protocoles de sécurité et de sûreté comme condition de déploiement.
- Elle établit un délai de signalement des incidents de sécurité de 72 heures, bien plus agressif que la période par défaut de 15 jours de la Californie sous la SB 53.
- Elle signale une convergence croissante parmi les grands États autour de la gouvernance des modèles de pointe, même si les mécanismes de conformité précis diffèrent.
À qui s’applique la RAISE Act ?
La RAISE Act s’applique aux grands développeurs de modèles d’IA de pointe qui sont développés, déployés ou opérés en tout ou en partie dans l’État de New York. Un modèle de pointe est défini par référence à un entraînement de très grande échelle ou à la distillation des connaissances, et des obligations accrues ne s’attachent qu’aux développeurs qui répondent à des seuils de coûts de calcul spécifiés.
Que doivent faire les grands développeurs ?
Les développeurs couverts doivent adopter, mettre en œuvre et maintenir un protocole de sécurité et de sûreté de l’IA écrit, abordant les risques associés au développement et au déploiement de modèles d’IA de pointe. Une version expurgée de ce protocole doit être rendue publique, tandis qu’une version non expurgée doit être conservée et mise à disposition de l’État sur demande.
Les développeurs doivent également documenter les procédures de test, les résultats et les mesures de sauvegarde utilisées pour évaluer et atténuer le risque de dommages critiques. Cette obligation de documentation est plus prescriptive que l’approche de la SB 53 de Californie.
En outre, la RAISE Act exige un audit indépendant annuel de la conformité à ses exigences de sécurité et de sûreté, avec un rapport expurgé rendu public et des matériaux non expurgés conservés pour examen gouvernemental.
Comparaison avec la SB 53 de Californie
Les deux lois ciblent les développeurs des modèles d’IA les plus capables et se concentrent sur la prévention des dommages catastrophiques ou critiques. Les principales différences résident dans la manière dont les obligations deviennent prescriptives une fois qu’un développeur est concerné.
La RAISE Act impose des protocoles de sécurité et de sûreté obligatoires, des audits indépendants annuels et un délai de signalement des incidents de sécurité compressé à 72 heures, tandis que la SB 53 met davantage l’accent sur des rapports de transparence standardisés.
Conclusion
Pour les organisations développant ou modifiant substantiellement des modèles d’IA hautement capables, la RAISE Act représente une escalade significative par rapport à la SB 53 de Californie. Les entreprises qui se préparent déjà à la SB 53 doivent s’attendre à des obligations supplémentaires à New York, en particulier concernant la préparation aux audits et le signalement accéléré des incidents.
Il est conseillé aux équipes juridiques internes d’harmoniser les documents de gouvernance internes afin qu’un cadre de contrôle unique puisse soutenir à la fois les obligations de transparence de la SB 53 et les exigences de sécurité, d’audit et de réponse aux incidents de la RAISE Act.