Présentation du rapport Regulating under Uncertainty au Consulat général de France à San Francisco
25 octobre 2024
[ETUDE] La souveraineté européenne dans l’intelligence artificielle : une perspective fondée sur les compétences, par Ludovic Dibiaggio, Lionel Nesta et Simone Vannuccini
8 novembre 2024
Cet article écrit par Florence G’sell est paru initialement le 25 octobre sur le site Le club des juristes.
Le gouverneur de Californie, Gavin Newsom, a opposé son véto à un projet de loi sur la sécurité de l’intelligence artificielle qui visait à réguler les grands acteurs de l’IA pour les rendre responsables des dommages que leurs modèles pourraient causer. Décryptage.
Par Florence G’sell, Professeur invité à Stanford University
Que prévoyait le projet de loi californien SB1047 ?
Malgré un champ d’application restreint aux modèles les plus avancés développés par les plus grandes entreprises technologiques, la loi « Safe and Secure Innovation for Frontier Artificial Intelligence Models Act » (proposition de loi SB 1047) n’en imposait pas moins des obligations contraignantes et inhabituelles pour les Etats-Unis.
Le champ d’application de la loi. Le texte avait pour objet d’encadrer les modèles d’IA les plus puissants mis sur le marché en Californie. Il visait spécifiquement les modèles entraînés à l’aide d’une puissance de calcul très importante (supérieure à 10^26 FLOPs – floating-point operations per second) et dont le coût dépasse 100 millions de dollars, ainsi que les modèles développés à partir de ces modèles avancés. La loi visait ainsi clairement les modèles d’IA de la génération à venir développés par les géants de l’industrie.
Les obligations prévues par la loi. La loi SB1047 prévoyait que les développeurs de tels modèles avaient l’obligation d’exercer une diligence raisonnable (« duty of care ») pour réduire le risque que leur modèle cause ou rende possible la survenance de « dommages critiques » (« critical harms »), à savoir : la création ou l’utilisation d’armes de destruction massive (armes chimiques, biologiques, radiologiques ou nucléaires – qui entraînent des pertes massives), la possibilité d’une cyberattaque visant des infrastructures critiques et entraînant des dommages d’au moins 500 millions de dollars ou des pertes massives, voire le cas où une IA autonome provoque la mort ou des dommages corporels de manière telle que les mêmes faits constitueraient une infraction s’ils étaient commis par un être humain. Le texte interdisait expressément le déploiement d’un modèle d’IA en présence d’un risque « déraisonnable » que le modèle permette de tels dommages. Afin de garantir que les modèles ne puissent causer ou permettre la survenance de dommages critiques, la loi imposait aux développeurs un certain nombre d’obligations : possibilité d’arrêt complet (kill switch) du fonctionnement du modèle, mesures de cybersécurité, élaboration d’un protocole de sûreté et de sécurité (PSS), tests et évaluation des risques avant déploiement du modèle, audits annuels par des tiers indépendants, signalement des incidents de sécurité.
Les sanctions prévues par le texte étaient lourdes. L’Attorney General pouvait décider de suspendre l’utilisation d’un modèle d’IA ou imposer des amendes allant jusqu’à 10 % du coût de la puissance de calcul utilisée pour entraîner le modèle, les sanctions pouvant atteindre 30 % en cas d’infractions ultérieures. Il pouvait en outre intenter une action civile et obtenir l’octroi de dommages et intérêts aux victimes, y compris des dommages et intérêts punitifs.
La suite du décryptage est accessible ici.