L'Illinois adopte la première loi américaine imposant des audits de sécurité de l'IA : ce que cela signifie pour les équipes GRC
By Jean-Hugues Migeon
Le 7 juillet 2026, le gouverneur de l'Illinois JB Pritzker a signé le Senate Bill 315, l'Artificial Intelligence Safety Measures Act, faisant de l'Illinois le premier État américain à exiger des audits de sécurité indépendants, menés par des tiers, pour les grands développeurs de modèles d'IA de pointe. La loi impose également la divulgation des incidents critiques et des obligations de transparence publique – transformant ce qui n'était jusqu'ici qu'un exercice volontaire et largement autorégulé de gouvernance de l'IA en une obligation légale contraignante.
Pour les professionnels du risque, de la conformité et de l'audit, il ne s'agit pas d'un simple titre de plus dans une actualité déjà saturée. C'est le premier exemple concret d'un État américain qui transforme des principes de gouvernance de l'IA en un mandat d'audit opposable, avec de réelles conséquences opérationnelles pour les développeurs d'IA – et, par extension, pour toute organisation qui construit ou déploie leurs modèles.
Ce qu'exige le SB 315
L'Artificial Intelligence Safety Measures Act s'applique aux développeurs de modèles d'IA de grande envergure et de pointe, et introduit trois obligations principales :
- Audits de sécurité indépendants. Des audits annuels menés par des tiers sur les pratiques de sécurité, plutôt qu'une simple auto-déclaration.
- Signalement des incidents critiques. Obligation de divulgation lorsque des systèmes d'IA causent ou contribuent à un incident de sécurité.
- Transparence publique. Des obligations de reporting destinées à donner aux régulateurs et au public une visibilité sur la manière dont les modèles de pointe sont testés et gouvernés.
La couverture médiatique de la signature a présenté cette loi comme une tentative de responsabiliser les grands laboratoires d'IA selon les propres termes de l'État. Quel que soit l'angle retenu, le message est clair : des exigences d'audit et de preuves autrefois aspirationnelles sont désormais inscrites dans la loi d'au moins un État majeur.
Pourquoi cela dépasse le cadre de l'Illinois
Il est peu probable que l'Illinois soit le dernier État à s'engager dans cette voie. Le SB 315 intervient à un moment où la politique fédérale américaine en matière d'IA reste incertaine, laissant les États combler ce vide avec leurs propres cadres réglementaires – chacun avec un périmètre, des seuils et des exigences d'audit différents. Pour les équipes GRC, cela signifie que la cible de conformité n'est plus une norme fédérale unique, ni même un cadre bien connu comme l'AI Act européen (voir notre article associé sur le RGPD et l'AI Act) ; il s'agit d'un patchwork croissant d'obligations propres à chaque État, souvent très différentes d'une juridiction à l'autre.
Les organisations qui développent, déploient ou utilisent simplement de grands modèles d'IA doivent s'attendre à ce que cette tendance se poursuive : de plus en plus d'États proposeront des exigences d'audit et de divulgation inspirées de l'approche de l'Illinois, ou en réaction à celle-ci. La question opérationnelle évolue : il ne s'agit plus de savoir « sommes-nous conformes à la réglementation sur l'IA ? », mais « à quelle version de la réglementation sur l'IA, dans quelle juridiction, et pouvons-nous le prouver ? »
Le défi pratique : être prêt pour l'audit, à grande échelle
Une loi qui impose des audits de sécurité indépendants ne fonctionne, en pratique, que si les organisations auditées sont capables de produire des preuves crédibles et à jour de leurs contrôles, de leurs tests et de leur historique d'incidents. C'est précisément là que de nombreuses organisations – qu'il s'agisse de développeurs d'IA ou d'entreprises utilisatrices de solutions tierces – sont le moins préparées aujourd'hui. La documentation de gouvernance est souvent dispersée entre les équipes, les preuves sont collectées dans l'urgence lorsqu'un audit est annoncé, et il n'existe pas de vision continue des systèmes d'IA existants, des risques qu'ils comportent, ni de leur correspondance avec les exigences légales applicables. Des outils comme ExplAIn permettent d'obtenir rapidement un premier diagnostic pour savoir si les outils d'IA que vous utilisez déjà résisteraient à ce type de contrôle.
À mesure que de plus en plus de juridictions adoptent des exigences contraignantes d'audit et de divulgation, les organisations les mieux positionnées seront celles qui traitent la gouvernance de l'IA comme une discipline continue, fondée sur des preuves, plutôt que comme un exercice documentaire annuel. Cela implique de maintenir un inventaire vivant des systèmes d'IA, de les cartographier par rapport aux cadres et réglementations qui leur sont applicables, et de tenir à jour les preuves d'audit plutôt que de les reconstituer dans l'urgence.
C'est exactement le modèle opérationnel sur lequel repose la plateforme insAIght d'Anove : elle aide les équipes risque, conformité et audit à maintenir une vision continuellement actualisée et prête pour l'audit de leur paysage IA, au regard de cadres tels que l'AI Act européen, l'ISO/IEC 42001, le NIST AI RMF, et désormais des lois étatiques émergentes comme le SB 315 de l'Illinois – afin que, lorsqu'un régulateur, un auditeur ou un conseil d'administration demande des preuves, la réponse soit déjà disponible.
À retenir
L'Illinois a fait passer la gouvernance de l'IA du stade des principes à celui de la preuve. Pour les professionnels du risque IA et de la GRC, le SB 315 est un avant-goût de l'évolution des attentes réglementaires partout ailleurs : moins de tolérance pour l'auto-déclaration, plus d'exigence de preuves vérifiées de manière indépendante. Les organisations qui mettent en place dès maintenant une gouvernance de l'IA continue et prête pour l'audit seront bien mieux positionnées à mesure que d'autres États – et, à terme, des instances fédérales ou internationales – suivront l'exemple de l'Illinois.
Source : Government Technology, « Illinois Governor Signs Bipartisan AI Oversight Bill Into Law »
Pour aller plus loin
- insAIght – la plateforme de gouvernance et de gestion des risques IA d'Anove, pour une conformité continue et prête pour l'audit.
- ExplAIn – vérifiez si les outils d'IA que vous utilisez sont conformes.
- RGPD et AI Act : ce que les entreprises doivent savoir en 2026 – lecture complémentaire sur les obligations réglementaires qui se recoupent.
Réservez une démo pour découvrir comment insAIght maintient votre gouvernance de l'IA prête pour l'audit, face au SB 315 de l'Illinois et à tous les autres cadres réglementaires que vous devez suivre.