Illinois adopte la première loi américaine forçant l'audit des IA de pointe

La course à la réglementation de l'IA ne se joue plus seulement à Bruxelles. Le 27 mai 2026, la Chambre des représentants de l'Illinois a adopté SB 315 à 110 voix contre 0, après un vote du Sénat de l'État à 52 contre 5 le 22 mai. Le gouverneur JB Pritzker a confirmé qu'il signerait le texte. C'est la première loi d'un État américain à imposer des audits indépendants sur les modèles d'IA dits "frontier".

---

---

Ce que la loi impose concrètement

SB 315, officiellement intitulé Artificial Intelligence Safety Measures Act, cible les entreprises qui développent des modèles d'IA capables de "risques catastrophiques" et dont le chiffre d'affaires annuel dépasse 500 millions de dollars. Dans les faits, cela vise un groupe restreint : Meta, OpenAI, Anthropic, Google et quelques autres acteurs du même calibre.

Les obligations sont précises. Les entreprises concernées devront publier leur cadre de sécurité, évaluer et déclarer les capacités de risque catastrophique de leurs modèles, faire appel à un auditeur tiers indépendant chaque année et signaler tout incident de sécurité lié à l'IA aux autorités de l'État dans un délai de 72 heures après sa découverte. Ce dernier point est particulièrement exigeant : pour comparaison, le RGPD européen impose la même fenêtre de 72 heures pour les violations de données, mais SB 315 l'applique à un périmètre plus large et moins défini.

La loi entrera en vigueur en 2028, après une négociation directe avec Anthropic, Secure AI et les républicains du Sénat qui a abouti à un report de la date initiale prévue en 2027. Le texte précise aussi qu'aucune responsabilité civile n'est créée : les sanctions sont réglementaires, pas judiciaires.

Une dynamique en cours depuis des mois

L'Illinois ne part pas de zéro. SB 315 s'inspire de propositions similaires en cours en Californie et à New York. L'État s'est appuyé sur son propre paquet législatif de huit textes, couvrant l'emploi, la transparence, la protection des consommateurs et l'usage gouvernemental de l'IA. SB 315 en est le volet sécurité.

Le contexte fédéral rend cette démarche plus urgente. En mai 2026, le Congrès américain n'a pas encore adopté de cadre national cohérent sur l'IA, et un décret présidentiel sur la revue de l'IA a été annulé quelques heures avant sa signature fin mai. Les États comblent le vide. Colorado, Californie, New York et maintenant Illinois construisent chacun leur propre modèle réglementaire, créant un patchwork que les entreprises devront gérer en parallèle. En Europe, l'accord du 7 mai 2026 sur l'AI Act Omnibus avait déjà recomposé le calendrier de l'autre côté de l'Atlantique, avec des exemptions similaires pour les PME et un report des délais.

Les partisans de SB 315 voient dans ce vote un signal fort : 110 représentants ont voté pour, aucun contre, ce qui traduit un consensus bipartisan rare sur un sujet aussi technique. Les critiques, eux, soulignent le risque d'exposer des systèmes propriétaires à des auditeurs externes sans standard national clair.

Ce que ça signifie pour vous

Pour les développeurs et les entreprises qui utilisent des API OpenAI, Anthropic ou Google, l'impact direct est limité à court terme : c'est aux labs eux-mêmes de se conformer, pas à leurs clients. Mais la multiplication des lois d'État va peser sur les pratiques de développement des modèles. Les audits tiers annuels et la fenêtre de 72 heures vont contraindre les labs à formaliser leurs processus internes de gestion des incidents, avec des effets potentiels sur les cycles de déploiement. Pour les équipes techniques qui suivent les évolutions des API, les prochaines années verront probablement plus de transparence sur les évaluations de sécurité des modèles, que ce soit par obligation légale ou par mimétisme compétitif.

---

Sources : Capitol News Illinois · Tech Jacks Solutions · NBC News · Wired