Les Régulations de l’IA des États Risquent de Laisser les CIO avec des Systèmes Inutilisables
À mesure que les États se précipitent pour réglementer l’IA, les CIO (Chief Information Officers) font face à la perspective que leurs systèmes deviennent inutilisables ou économiquement impraticables sous de nouvelles lois. Ces lois menacent d’augmenter les coûts de conformité, de réduire le retour sur investissement (ROI) ou de laisser les investissements complètement à l’abandon.
Exemples de Régulations en Cours
Par exemple, lorsqu’il a été rapporté que ShopRite, une chaîne de supermarchés du Nord-Est, utilisait la reconnaissance faciale pour identifier les voleurs à l’étalage, certains législateurs du Connecticut ont déclaré le mois dernier qu’ils chercheraient à interdire la reconnaissance faciale dans les magasins de détail. De même, des législateurs du Nebraska souhaitent interdire les étiquettes électroniques (ESL) dans les supermarchés de plus de 10 000 pieds carrés, craignant que la tarification dynamique ne remplace des emplois et fixe des prix en fonction du comportement des consommateurs.
En revanche, la législation du Maryland interdirait la tarification dynamique et l’utilisation de données de surveillance — capteurs, caméras et biométrie — pour établir des prix individualisés, mais ne bannirait pas les ESL elles-mêmes. Des détaillants comme Walmart déploient déjà des étiquettes électroniques et affirment que la technologie améliore l’efficacité opérationnelle et l’expérience client.
Les Risques d’un Droit Fragmenté
Les lois sur l’IA en patchwork mettent en danger les systèmes existants dans des domaines critiques tels que les soins médicaux, les assurances, les ressources humaines et la finance. Selon certaines propositions, les entreprises seraient tenues de fournir aux régulateurs :
- des arbres de décision de l’IA,
- une documentation des données d’entraînement,
- les résultats d’audit,
- des notifications aux clients décrivant comment les systèmes d’IA sont utilisés.
Les coûts de conformité liés aux nouvelles lois sur l’IA vont augmenter, a déclaré Mahesh Juttiyavar, CIO chez Mastek, un fournisseur de services informatiques. Il a indiqué que ces lois ajouteraient des coûts organisationnels et du temps de gestion que les entreprises n’avaient pas prévus.
Des Coûts à Long Terme
Le Règlement Général sur la Protection des Données (RGPD) de l’Europe illustre cette dynamique, selon une étude récente de chercheurs de l’Université Cornell et de l’Université Bocconi, financée par Amazon. Elle a révélé que les entreprises du Fortune 500 dépensaient en moyenne 15,8 millions de dollars chacune pour la conformité initiale au RGPD, avec des coûts de maintenance annuels récurrents atteignant généralement 20 % à 30 % de cet investissement initial.
Malgré le risque réglementaire croissant, les entreprises semblent réticentes à ralentir les déploiements d’IA. Juttiyavar a déclaré : « S’éloigner de l’IA avec la réglementation n’est pas une option pour nous. » Il a souligné que l’IA est déjà profondément intégrée dans le fonctionnement des organisations et est essentielle pour la rapidité et la compétitivité.
Anticipation des Changements Législatifs
Gregory Dawson, professeur de gestion à l’ASU, s’accorde à dire qu’« aucune entreprise ne veut rester à l’écart pendant que d’autres revendiquent leur place à l’ère de l’IA ». Dawson a coécrit un rapport de l’institution Brookings suivant la croissance des régulations étatiques sur l’IA.
Il s’attend à une hausse des projets de loi liés à l’IA à mesure que les législateurs et le public prennent davantage conscience des risques associés à l’IA. En même temps, il a noté que certains États, comme l’Arizona, ont créé des comités pour examiner à la fois les risques de l’IA et comment les agences gouvernementales pourraient utiliser la technologie pour améliorer les services publics.
Conséquences des Changements Législatifs
Au niveau fédéral, le Congrès semble peu enclin à préempter les lois étatiques sur l’IA. Une proposition l’année dernière imposant un moratoire de dix ans sur la réglementation étatique de l’IA a été retirée d’un projet de loi budgétaire fédéral par un vote de 99 à 1 au Sénat américain.
Cela laisse les CIO à planifier des règles variables d’État qui peuvent changer au fil du temps, le même problème auquel ils font face aujourd’hui avec les lois sur la vie privée. Le Congrès n’a jamais préempté les États sur la vie privée, malgré des décennies de débats.
Évolutions et Limites des Lois sur l’IA
La grande majorité des projets de loi sur l’IA dans les législatures des États ne seront pas adoptés, et certains — s’ils deviennent loi — perdront leur impact. Par exemple, en 2023, la ville de New York a adopté une loi exigeant des audits des systèmes de recrutement alimentés par l’IA pour garantir qu’ils soient exempts de biais. Cependant, la loi finale ne s’applique que lorsque le système d’IA prend une décision d’embauche « conséquente », une limitation que de nombreux employeurs disent leur permettre d’éviter la conformité en maintenant un humain nominalement impliqué dans le processus.
Selon Arsen Kourinian, avocat spécialisé dans la confidentialité des données et l’IA, les lois interdisant purement les systèmes d’IA sont rares. Plus souvent, les législateurs cherchent à limiter l’utilisation de la technologie plutôt que de l’interdire complètement.
Gouvernance et Contrats comme Contrôles de Risque
Cette approche met l’accent sur la gouvernance. Si les CIO établissent des cadres internes solides pour le déploiement de l’IA, « cela vous aide à mieux réagir aux changements législatifs » et à anticiper les nouvelles exigences, a déclaré Kourinian.
Cependant, les changements réglementaires peuvent laisser les entreprises avec des systèmes techniquement solides mais légalement inutilisables. Pour gérer ce risque, il est conseillé aux CIO de négocier des dispositions de « changement de loi » dans les contrats de fournisseurs qui prévoient des droits de résiliation si les règlements rendent impossible ou impraticable l’utilisation continue d’un système. Mais de telles dispositions n’éliminent pas le risque de coûts irrécupérables.
Enfin, les CIO doivent également anticiper la réaction publique et politique face à l’IA et aux outils biométriques. « Le CIO a absolument la responsabilité de comprendre comment cette technologie pourrait être perçue — pas seulement en interne, mais par le public et les législateurs », a déclaré Mark Moccia, analyste chez Forrester Research.
Pour les CIO, la seule certitude est que les États peuvent agir de manière surprenante sur l’IA, et ils devront être préparés.