Ce qui se passe à Sacramento ne reste pas à Sacramento
En septembre 2025, le gouverneur Gavin Newsom a signé le SB 53, officiellement intitulé Transparency in Frontier Artificial Intelligence Act (TFAIA). Une loi californienne de plus, pourrait-on penser. Ce serait une erreur d’analyse.
La Californie représente 15,7 % de l’ensemble des offres d’emploi IA aux États-Unis. Trois des quatre entreprises ayant franchi les 3 000 milliards de dollars de valorisation y ont leur siège. Légiférer sur l’IA depuis Sacramento, c’est légiférer depuis le cœur même de l’industrie, et produire, de fait, des normes que les multinationales du monde entier devront intégrer.
Ce mécanisme n’est pas nouveau. La Californie l’a déjà appliqué en matière de protection des données et de standards environnementaux. Le SB 53 active le même levier sur la gouvernance IA. Pour les directions IT et RSE des grandes organisations, y compris européennes, la question n’est donc pas « est-ce que cette loi nous concerne ? », mais « dans combien de temps allons-nous devoir nous y aligner ? »
Trois ruptures concrètes, un seul dénominateur commun
Le SB 53 cible les développeurs de modèles dits frontier : des systèmes entraînés à partir d’une puissance de calcul supérieure à 10²⁶ opérations en virgule flottante (FLOPs). En pratique, il vise les OpenAI, Anthropic et Google de l’industrie. Mais ses effets structurels dépassent largement ce périmètre.
La loi introduit trois ruptures majeures, qui partagent un dénominateur commun : la gouvernance IA sort des mains des seuls développeurs.
La transparence devient publique, pas seulement réglementaire. Les frontier developers doivent publier, avant tout déploiement, un rapport décrivant les capacités du modèle, ses usages prévus, ses limites et les résultats des évaluations de risques. Les grandes entreprises (celles dont le chiffre d’affaires dépasse 500 millions de dollars) vont plus loin : elles doivent publier chaque année un framework complet de gouvernance IA, aligné sur des standards reconnus comme le NIST AI Risk Management Framework ou ISO/IEC 42001. Cette obligation de divulgation publique va plus loin que ce que l’AI Act européen impose : en Europe, les informations sont transmises aux régulateurs ; en Californie, elles sont accessibles à tous.
Les employés deviennent des acteurs de la conformité. Le SB 53 introduit un mécanisme inédit : les grandes entreprises concernées doivent mettre en place une plateforme de signalement interne anonyme, avec des mises à jour mensuelles. En cas de représailles avérées contre un lanceur d’alerte, la charge de la preuve est renversée : c’est à l’employeur de démontrer qu’il n’a pas agi en réaction au signalement. À partir de 2027, le Procureur général publiera des rapports annuels anonymisés sur l’activité de ces signalements. Les collaborateurs les plus proches du développement IA deviennent, de fait, les premières sentinelles de la sécurité publique.
L’infrastructure de calcul sort du monopole privé. Le SB 53 crée CalCompute, un consortium public établi au sein du Government Operations Agency, chargé de développer un cluster de calcul dédié à une IA sûre, éthique et équitable. L’objectif est clair : permettre aux startups, universités et laboratoires publics d’accéder à des ressources de calcul avancées, sans dépendre des seuls hyperscalers. Un rapport détaillant sa structure de gouvernance et son cadre de financement devra être remis au Parlement californien avant le 1er janvier 2027.
Moins contraignant qu’il n’y paraît, et c’est précisément ce qui le rend stratégique
Pour comprendre le SB 53, il faut connaître son prédécesseur : le SB 1047, adopté par le Parlement californien en 2024, puis bloqué par le gouverneur Newsom après un débat intense au sein de l’industrie. Le SB 1047 imposait des audits tiers obligatoires avant tout lancement, une capacité d’arrêt d’urgence des modèles (kill switch), des délais de déclaration d’incident de 72 heures, et des pénalités pouvant atteindre 30 % du coût de calcul.
Le SB 53 est le résultat d’un compromis délibéré. Il supprime les dispositions les plus prescriptives, étend les délais de déclaration à 15 jours (ou 24 heures en cas de danger imminent), plafonne les pénalités à 1 million de dollars par violation, et privilégie la transparence publique plutôt que le contrôle direct des opérations.
Ce choix n’est pas un recul. C’est un pari sur la responsabilisation par la divulgation, une approche préventive qui part du principe que pour des risques potentiellement systémiques (assistance à la création d’armes, cyberattaques autonomes, perte de contrôle des modèles), forcer la transparence avant un incident est plus efficace que de sanctionner après. La loi envoie ainsi un signal fort : sécurité et innovation ne sont pas antagonistes. Elles sont complémentaires, à condition de les piloter ensemble.
Pourquoi les directions IT et RSE ont intérêt à ne pas attendre ?
Le SB 53 entre en vigueur en janvier 2026. Pour les organisations qui ne développent pas elles-mêmes des modèles frontier, le calendrier semble lointain. Il ne l’est pas.
Trois dynamiques accélèrent l’effet de diffusion. D’abord, la conformité en cascade : les grandes entreprises tech soumises au SB 53 vont répercuter leurs exigences de transparence sur leurs partenaires, fournisseurs et clients, y compris européens. Ensuite, l’alignement réglementaire mondial : le SB 53 prévoit explicitement que si une entreprise satisfait des standards fédéraux comparables à ceux de l’AI Act européen, la Californie acceptera cette conformité en lieu et place de ses propres exigences. C’est une invitation à l’harmonisation, pas à la fragmentation. Enfin, le précédent législatif : le Colorado a adopté une loi IA large dès 2024, le Texas a suivi en juin 2025 avec le Texas Responsible AI Governance Act. La Californie n’est pas un cas isolé, elle est l’avant-garde d’un mouvement de fond.
Pour les directions IT et RSE, trois chantiers s’imposent dès maintenant, dans un ordre logique.
Cartographier avant tout. Identifier les usages IA à fort impact au sein de l’organisation, documenter les évaluations de risques associées, et aligner ces travaux sur des référentiels reconnus : NIST AI Risk Management Framework, ISO/IEC 42001. Ce travail de cartographie est le socle de toute gouvernance IA crédible, qu’elle soit imposée par la réglementation ou portée par une démarche volontaire.
Structurer ensuite. Mettre en place des canaux clairs de surveillance et d’escalade : qui détecte les incidents ? Qui décide ? Selon quel processus ? Les mécanismes de signalement internes imposés par le SB 53 aux grandes entreprises tech sont, en réalité, une bonne pratique que toute organisation gérant des usages IA significatifs devrait adopter, indépendamment de toute obligation légale.
Communiquer enfin. Structurer le reporting IA : capacités des modèles utilisés, usages effectifs, limites identifiées, trajectoire de conformité. Ce reporting n’est pas qu’un exercice de conformité, c’est un outil de pilotage stratégique et de dialogue avec les parties prenantes, internes comme externes.
En conclusion : un standard, pas une contrainte
Le SB 53 ne révolutionne pas la régulation de l’IA d’un coup. Il pose quelque chose de plus durable : les bases d’un standard de gouvernance qui va progressivement s’imposer comme référence, à l’image de ce que le RGPD a produit pour la protection des données personnelles.
Pour les organisations qui anticipent, c’est une opportunité de structurer leur approche IA sur des fondations solides, techniques, juridiques et réputationnelles. Pour celles qui attendent, c’est un risque de se retrouver en position de rattrapage, face à des partenaires, régulateurs et clients dont les exigences auront déjà évolué.
La gouvernance IA n’est plus un sujet de demain. Le SB 53 vient de le confirmer.