Réguler l'IA — pourquoi l'Europe, les États-Unis et la Chine ne parlent pas le même langage

Trois puissances, trois philosophies de régulation. L'Europe classe les risques, la Chine contrôle les contenus, les États-Unis oscillent selon les administrations.

En bref

Réguler l’intelligence artificielle est un défi mondial — mais les réponses divergent radicalement selon les continents. L’Europe parie sur une classification par niveau de risque. Les États-Unis oscillent entre leadership technologique et protection nationale. La Chine privilégie le contrôle des contenus. Ces trois approches reposent sur des hypothèses différentes sur ce qu’est l’IA — et sur ce qu’il faut craindre d’elle.

Le paradoxe du régulateur

Il y a une tension au cœur de la régulation de l’IA.

Les chercheurs mesurent le danger d’un modèle par ses capacités émergentes : ce qu’il sait faire que ses créateurs n’avaient pas anticipé, comme résoudre des problèmes de chimie avancée ou rédiger du code malveillant. Ces capacités sont difficiles à prédire, difficiles à mesurer, et n’apparaissent parfois qu’après déploiement.

Les régulateurs, eux, mesurent en FLOPs — floating point operations, l’unité qui quantifie la puissance de calcul mobilisée pour entraîner un modèle. L’EU AI Act fixe le seuil de risque systémique à 10²⁵ FLOPs. L’executive order américain de 2023 utilisait 10²⁶. C’est concret, vérifiable, et objectif.

C’est aussi un proxy imparfait. Un modèle peut être dangereux avec peu de FLOPs si son architecture est efficace. Un modèle peut consommer 10²⁶ FLOPs et n’avoir aucune capacité problématique. Kapoor et Narayanan (2024) ont documenté ces limites en détail : le seuil FLOPs mesure l’investissement, pas la dangerosité.

Le régulateur est contraint de mesurer ce qu’il peut mesurer. C’est la première difficulté structurelle de ce champ.

L’approche européenne : classifier le risque

L’EU AI Act (Règlement 2024/1689, entré en vigueur juillet 2024) est la première législation contraignante sur l’IA au monde. Son architecture repose sur quatre niveaux de risque :

Inacceptable : interdit. Notation sociale, manipulation subliminale, reconnaissance faciale en temps réel dans les espaces publics (avec exceptions).
Haut risque : autorisé sous contraintes strictes. IA dans les infrastructures critiques, l’emploi, l’éducation, la justice. Exige une documentation technique, un suivi humain, une conformité avant mise sur le marché.
Limité : obligations de transparence. Un chatbot doit se déclarer comme tel.
Minimal : pas d’obligation particulière. La majorité des applications IA actuelles.

Pour les modèles de fondation (GPAI — General Purpose AI), les articles 51 à 56 introduisent des obligations spécifiques : transparence sur les données d’entraînement, politique de droits d’auteur, évaluation des risques systémiques au-delà du seuil 10²⁵ FLOPs.

Le calendrier est progressif : les interdictions ont pris effet en février 2025, les obligations GPAI en août 2025, les règles sur les systèmes haut risque entre 2026 et 2027.

La logique sous-jacente : l’IA est un outil, et comme tout outil, sa dangerosité dépend de l’usage. La loi règle l’usage, pas la technologie elle-même.

La limite principale : qui audite réellement les FLOPs déclarés par les labs ? L’AI Office européen n’a pas encore la capacité technique de vérifier les entraînements des grands modèles. Eiras et al. (2024) soulèvent explicitement ce problème d’enforcement.

L’approche américaine : compétitivité avant tout

Les États-Unis n’ont pas de loi fédérale sur l’IA. Ce qu’ils avaient, c’est un executive order.

L’EO 14110 (octobre 2023), signé par Biden, mobilisait le Defense Production Act pour exiger des rapports de sécurité au-delà de 10²⁶ FLOPs. Il positionnait le NIST comme référence via l’AI Risk Management Framework (RMF 1.0, 2023), et créait l’US AISI au sein du NIST pour coordonner l’évaluation des modèles frontier.

En janvier 2025, Trump a révoqué cet ordre (EO 14179) et l’a remplacé par un texte centré sur la compétitivité : lever les freins à l’innovation américaine, maintenir le leadership face à la Chine.

Ce retournement illustre la fragilité d’une gouvernance par décret présidentiel. Un executive order ne crée pas de droit stable — il peut disparaître en quelques semaines. La régulation américaine reste volontaire et sectorielle : les engagements pris par les labs devant la Maison-Blanche en 2023 (watermarking, red-teaming, partage d’informations) n’ont aucun caractère contraignant.

Le NIST RMF et l’ISO 42001 (2023) existent comme standards de bonnes pratiques — mais sans mécanisme d’obligation ni de sanction.

L’approche chinoise : réguler les contenus

La Chine a adopté une stratégie inverse : ne pas réguler l’IA en tant que technologie, mais réguler ce qu’elle produit.

Trois textes successifs : les recommandations algorithmiques (2022), les règles sur les deepfakes (2023), et le règlement sur l’IA générative (CAC, 2023). Ce dernier est particulièrement révélateur : il exige une évaluation de sécurité avant déploiement, impose que les contenus générés respectent “les valeurs socialistes fondamentales”, et rend les opérateurs responsables de ce que leurs modèles produisent.

L’objectif déclaré n’est pas la sécurité technique au sens des risques systémiques — c’est le contrôle de l’information. La préoccupation centrale est : que dit le modèle aux utilisateurs chinois ? Pas : comment fonctionne-t-il techniquement ?

Cette approche est cohérente avec l’architecture réglementaire chinoise plus large sur internet. Elle est aussi radicalement différente des cadres européen et américain, ce qui rend la convergence internationale difficile.

L’open source comme test de cohérence

Le débat open source révèle les contradictions internes de chaque approche.

L’EU AI Act prévoit une exemption pour les modèles open source : les obligations GPAI ne s’appliquent pas aux modèles dont les poids sont publiés librement — sauf s’ils dépassent le seuil de risque systémique. La logique est que les modèles ouverts favorisent la recherche, l’auditabilité et la concurrence.

Le problème : les poids d’un modèle publié sont irréversibles. On ne peut pas “retirer” un modèle open source du monde une fois qu’il circule. Si des capacités dangereuses sont découvertes après publication, il n’existe pas de mécanisme de rappel.

L’autre complication : “open source” est un terme flou dans ce contexte. Llama (Meta) n’est pas open source au sens classique — sa licence interdit l’usage commercial au-delà de 700 millions d’utilisateurs actifs mensuels. Bommasani et al. (2021) avaient déjà signalé ce problème de nomenclature : la zone grise entre “ouvert” et “propriétaire” est large, et les régulateurs peinent à la définir précisément.

Le rapport Kapoor et Narayanan (2024) va plus loin : il remet en question l’idée que l’ouverture des poids augmente mécaniquement les risques. La corrélation n’est pas établie empiriquement. Mais elle n’est pas non plus réfutée — ce qui laisse le débat réglementaire dans l’incertitude.

Brussels Effect ou fragmentation ?

Une question structurelle traverse ces trois approches : qui fixe la norme mondiale ?

L’hypothèse du “Brussels Effect” suggère que la réglementation européenne s’impose de facto aux entreprises mondiales, comme pour le RGPD. Un lab américain qui veut accéder au marché européen doit se conformer à l’EU AI Act — et il est souvent plus simple d’appliquer ces règles partout que d’avoir des versions différentes par marché.

La contre-hypothèse, défendue notamment par AI Now (2024), est que la fragmentation réglementaire est déjà là. Les labs ajustent leurs modèles selon les géographies, les États américains légifèrent indépendamment, la Chine impose ses propres règles. Le résultat pourrait être non pas une norme commune, mais un archipel de régimes incompatibles.

L’issue dépend en partie de la capacité d’enforcement — et là, toutes les approches ont le même problème : les régulateurs manquent d’experts capables d’évaluer techniquement ce qu’ils sont censés superviser.

Ce qu’il faut retenir

L’EU AI Act classe les risques par usage, pas par technologie. Son calendrier d’entrée en vigueur est progressif jusqu’en 2027, mais l’enforcement technique reste une question ouverte.
Les États-Unis ont opté pour la régulation par executive order — un mécanisme réversible, comme l’a montré le retournement de janvier 2025.
La Chine régule les contenus produits, pas la technologie. La priorité est le contrôle de l’information, pas la sécurité technique.
Le seuil FLOPs est un proxy pratique mais imparfait : il mesure l’investissement en calcul, pas les capacités réelles ni leur dangerosité.
L’open source crée une zone grise réglementaire : l’exemption européenne repose sur une définition de “l’ouverture” que le secteur lui-même n’a pas stabilisée.

Sources

EU AI Act — Règlement (UE) 2024/1689, Journal officiel de l’Union européenne, juillet 2024
Executive Order 14110 (Biden, oct. 2023) et Executive Order 14179 (Trump, jan. 2025)
NIST AI Risk Management Framework 1.0, National Institute of Standards and Technology, 2023
ISO 42001:2023 — Information technology — Artificial intelligence — Management system
Bommasani et al., On the Opportunities and Risks of Foundation Models, Stanford CRFM, 2021
Kapoor & Narayanan, Societal impact of foundation models, 2024
Eiras et al., Near to Mid-term Risks and Opportunities of Open-Source Generative AI, 2024
Cyberspace Administration of China (CAC), Interim Measures for the Management of Generative Artificial Intelligence Services, 2023
AI Now Institute, AI Now Report 2024