L’oscillation de l’application de l’IA : retrait fédéral et avancée des États
Le 19 décembre, la gouverneure de New York, Kathy Hochul, a signé la loi RAISE, faisant de New York le premier État à adopter une législation majeure sur la sécurité de l’IA, après l’ordre exécutif du président Trump du 11 décembre appelant à la préemption fédérale des lois étatiques sur l’IA. Trois jours plus tard, la FTC a voté 2-0 pour annuler son ordonnance de consentement de 2024 contre Rytr LLC, un outil d’écriture IA, citant explicitement le plan d’action sur l’IA de l’administration Trump.
Cette juxtaposition, avec des directions opposées, illustre la nouvelle réalité réglementaire : ne pas confondre le retrait fédéral avec un allègement réglementaire. Les États interviennent, et les obligations de conformité se multiplient, plutôt que de se simplifier.
L’application fédérale se réduit, mais ne disparaît pas
La décision de la FTC concernant Rytr indique un changement significatif dans la façon dont la FTC abordera l’application de l’IA sous une nouvelle direction. La plainte originale de 2024, déposée sous l’ancienne présidence de Lina Khan, alléguait que l’outil de génération de critiques de Rytr pouvait produire de fausses critiques, mais ne prétendait pas que quelqu’un avait effectivement publié de fausses critiques en utilisant l’outil. La nouvelle FTC, dirigée par Andrew Ferguson, a jugé cela insuffisant.
La Commission a déclaré que la plainte originale “ne contient aucune allégation selon laquelle Rytr lui-même a créé du matériel marketing trompeur, seulement que ses clients pourraient avoir utilisé son outil pour le faire.” Le directeur BCP, Christopher Mufarrige, a été plus explicite : “Condamner une technologie ou un service simplement parce qu’il pourrait être utilisé de manière problématique est incompatible avec la loi et la liberté ordonnée.”
Ce changement doctrinal passe de “dommages potentiels” à “dommages réels” comme seuil pour l’application de l’IA. Dans ce cadre, les outils d’IA neutres — ceux ayant des utilisations légitimes en plus de leur potentiel d’abus — font face à une barre plus élevée pour l’action de la FTC. L’agence exigera des preuves que l’outil a effectivement été utilisé pour tromper les consommateurs, et non simplement qu’il pourrait l’être.
Cependant, cela ne signifie pas une déréglementation généralisée. Le même jour où elle a annulé l’ordonnance contre Rytr, la FTC a envoyé des lettres d’avertissement à dix entreprises concernant de fausses critiques sous la règle de révision des consommateurs. Le message est clair : la FTC agira toujours contre la tromperie des consommateurs, mais avec une barre de preuve plus élevée pour les théories spécifiques à l’IA et moins de tolérance pour les “dommages spéculatifs”. Les entreprises faisant de fausses représentations sur leurs capacités en matière d’IA, les cas de “lavage d’IA”, restent dans le viseur de l’application.
Les États n’attendent pas la résolution fédérale
Alors que l’application fédérale se recalibre, les États avancent rapidement. La loi RAISE de New York exige que les développeurs d’IA de pointe publient des protocoles de sécurité et signalent les incidents de sécurité à l’État dans les 72 heures suivant leur détermination. La loi crée un nouveau bureau de surveillance au sein du Département des services financiers. Les violations peuvent entraîner des amendes allant jusqu’à 1 million de dollars pour les premières infractions et 3 millions de dollars pour les infractions ultérieures. La loi entrera en vigueur le 1er janvier 2027.
New York rejoint la Californie, qui a adopté sa loi sur la transparence dans l’IA de pointe (entrée en vigueur en janvier 2026) avec des exigences similaires de transparence pour les développeurs. Ensemble, ces lois pourraient créer un standard dé facto pour le développement de l’IA de pointe, des exigences qui s’appliquent indépendamment de l’issue des litiges de préemption fédérale.
L’activité des États s’étend bien au-delà de ces lois phares. La loi sur la gouvernance responsable de l’IA du Texas est entrée en vigueur en juillet 2025, établissant des exigences de gouvernance pour l’IA utilisée dans des décisions conséquentes. La loi sur l’IA du Colorado entrera en vigueur en février 2026, exigeant des déployeurs qu’ils fassent preuve d’un soin raisonnable pour éviter la discrimination algorithmique. Et le 19 décembre — le même jour où Hochul a signé la loi RAISE — près de deux douzaines de procureurs généraux des États ont envoyé une lettre à la FCC lui demandant de ne pas préempter les lois étatiques sur l’IA envisagées par l’ordre exécutif de Trump.
La tension fédérale-étatique s’intensifie, sans se résoudre. Et jusqu’à ce que les tribunaux statuent sur les défis de préemption, les lois des États restent applicables.
Que doivent faire les déployeurs maintenant
Pour les entreprises utilisant des systèmes d’IA — plutôt que de les construire — quatre priorités émergent de ce moment réglementaire :
- Poursuivre la diligence raisonnable des fournisseurs. L’application fédérale peut se réduire, mais l’application étatique ne l’est pas. La conformité de vos fournisseurs d’IA est plus importante que jamais, compte tenu du patchwork des exigences étatiques. Lors de l’évaluation des fournisseurs, interrogez-les spécifiquement sur leurs programmes de conformité aux lois des États pour le Texas, le Colorado, New York et la Californie.
- Cartographier votre exposition étatique. Quelles lois des États s’appliquent à vos opérations ? La réponse dépend de l’endroit où vous opérez, où se trouvent vos clients et où les décisions affectant les consommateurs sont prises. Faites l’inventaire de vos obligations avant la prochaine date limite de conformité — la date d’entrée en vigueur du Colorado en février 2026 est plus proche qu’il n’y paraît.
- Mettre à jour les procédures de réponse aux incidents. L’exigence de signalement de 72 heures de New York pour les incidents de sécurité est agressive. Si votre fournisseur d’IA subit un incident, vos flux de travail internes doivent permettre une évaluation rapide et une notification. Cela nécessite des voies d’escalade définies, des modèles de notification pré-rédigés, et une autorité claire pour prendre des décisions de divulgation sous pression temporelle.
- Réviser les contrats avec les fournisseurs. Vos accords avec les fournisseurs d’IA incluent-ils des représentations de conformité aux lois des États ? Des obligations de notification d’incident ? Des droits d’audit qui vous permettraient de vérifier la conformité ? Si le contrat a été signé avant la vague actuelle de lois sur l’IA aux États, la réponse est probablement non. Envisagez si des amendements sont nécessaires.
Le paysage réglementaire ne s’est pas simplifié — il s’est bifurqué. Les entreprises qui pensaient que la préemption fédérale créerait un espace de respiration pourraient constater le contraire : une théorie d’application fédérale plus étroite associée à une application étatique active crée une complexité de conformité, et non un allègement. L’approche prudente consiste à considérer les exigences étatiques comme des obligations durables qui persisteront, quel que soit le résultat des batailles de préemption fédérale.
Le bascule n’est pas équilibrée. Elle est en mouvement — et se dirige vers les États.