Illinois SB 315 rendrait les audits annuels d'IA par des tiers obligatoires par la loi. Voici ce que cela signifie concrètement.
La loi sur les mesures de sécurité en matière d'intelligence artificielle va plus loin que toute loi américaine étatique existante sur l'IA en exigeant une vérification externe, et non de simples plans de sécurité autodéclarés.
La Chambre des représentants de l'Illinois a voté à 110 voix contre 0 le 27 mai 2026 pour adopter le Senate Bill 315, la loi sur les mesures de sécurité en matière d'intelligence artificielle (Artificial Intelligence Safety Measures Act). Le Sénat l'avait approuvée le 21 mai par un vote de 52 voix contre 5. Le gouverneur J.B. Pritzker a publiquement déclaré son intention de la promulguer. Dans la pratique législative, cette combinaison transforme un projet de loi adopté en fait de planification : les équipes chargées de la conformité n'attendent pas la signature lorsque le gouverneur s'est déjà exprimé.
Ce que la loi exige concrètement
Le mécanisme central du SB 315 est structurel et précis, selon le reportage de Jared Perlo pour NBC News. Les entreprises d'IA de pointe, dont des exemples nommément cités tels qu'OpenAI et Anthropic, seraient tenues de créer, de publier et de mettre à jour annuellement des plans pour faire face aux risques graves ou catastrophiques liés à leurs modèles d'IA. Au-delà de cette obligation de planification, l'Illinois ajoute une exigence qu'aucune législation américaine existante sur l'IA ne contient : des audits indépendants annuels réalisés par des tiers sur les questions de sécurité de ces entreprises. Cette obligation d'audit constitue le nouvel élément opérationnel. La divulgation des plans relève d'un territoire familier ; la périodicité des audits externes, non.
Regulations.AI, qui suit le projet de loi sous l'identifiant RAI-US-IL-SB31500-2026, caractérise la loi comme couvrant la sécurité, les tests et l'évaluation, la gestion des risques, ainsi que la transparence et la divulgation. Chacune de ces catégories se traduit par une charge documentaire distincte. Une catégorie sécurité implique des dossiers de tests démontrables, et non une simple déclaration de politique. La gestion des risques suppose un registre des risques tenu à jour. La transparence exige des résultats publiés qu'un auditeur peut effectivement examiner.
Le mot « indépendant » dans l'exigence d'audit est porteur de sens. Il exclut la pratique de l'auto-attestation qui a dominé jusqu'à présent la gouvernance de l'IA en entreprise. Un plan de gestion des risques que vous rédigez vous-même et publiez est, dans les faits, un document de communication tant qu'une personne n'ayant aucun intérêt dans vos revenus n'est pas tenue de l'évaluer selon un cycle annuel.
En quoi l'Illinois se distingue de la Californie et de New York
L'Illinois deviendrait le troisième État américain à établir des normes pour les modèles d'IA de pointe, après l'approche de New York et la législation antérieure de la Californie, selon la couverture de la Transparency Coalition à l'occasion de l'adoption du projet de loi le 27 mai 2026. Mais l'exigence d'audit par un tiers constitue la différence structurelle. La Californie et New York exigent planification et divulgation. L'Illinois exige une vérification externe de ces plans selon un cycle annuel. Il s'agit d'une obligation matériellement différente.
NBC News, citant le reportage de Jared Perlo, présente le SB 315 comme un projet de loi qui « irait au-delà de la législation en Californie et à New York réglementant les plus grandes entreprises d'IA américaines ». Cette formulation est exacte, mais elle sous-estime l'écart opérationnel. Les obligations de divulgation créent des pistes documentaires. Les obligations d'audit créent des structures de responsabilité, car une personne extérieure à l'entreprise doit apposer son nom à une évaluation permettant de déterminer si le plan de sécurité est réel, actuel et testé. Ces obligations de conformité ne sont pas équivalentes.
Le problème de l'écosystème d'audit
Voici l'aspect sur lequel les responsables de la conformité et les équipes produit en IA devraient s'arrêter : la loi exigerait des audits indépendants annuels réalisés par des tiers sur les protocoles de sécurité des IA de pointe, et comme le note une analyse de TechJack Solutions, l'écosystème d'audit qu'une telle exigence nécessite n'existe pas encore à grande échelle. Il n'existe pas de corps constitué d'auditeurs accrédités en sécurité de l'IA analogue aux auditeurs d'états financiers relevant du droit des valeurs mobilières. Il n'existe pas de méthodologie convenue définissant ce qu'un audit de sécurité d'un modèle de pointe doit examiner, la profondeur à laquelle il doit aller, ni à quoi ressemble un résultat satisfaisant.
Ce manque n'est pas une raison d'attendre. C'est une raison de commencer dès maintenant à construire des pratiques de documentation interne, afin que lorsque des auditeurs et des méthodologies émergeront, une entreprise ne soit pas contrainte de reconstituer son historique de sécurité à partir de zéro. L'analyse juridique de McDermott sur l'avancement du projet de loi en Illinois mentionne les exigences de transparence et d'audit comme des obligations distinctes, ce qui signale que les praticiens décomposent déjà le périmètre de conformité en composantes exploitables.
Ce que les apprenants et les créateurs devraient surveiller
Pour quiconque étudie la gouvernance de l'IA, le SB 315 est une étude de cas utile sur la façon dont les exigences structurelles se propagent. La Californie et New York ont établi des normes de divulgation. L'Illinois y ajoute une vérification externe. Si cette tendance se confirme, la prochaine vague de législation étatique demandera probablement non seulement si une entreprise a publié un plan de sécurité, mais aussi si une partie indépendante a conclu que ce plan était adéquat. C'est la direction prise.
Pour les créateurs qui travaillent sur des produits d'IA dans le domaine de l'éducation ou dans tout autre secteur, la conclusion pratique est la discipline documentaire : les dossiers de tests, les registres des risques et les résultats de sécurité publiés ne sont plus une hygiène interne facultative. Ils constituent la matière première d'un audit.
La page officielle de suivi du statut des projets de loi de l'Assemblée générale de l'Illinois confirme que le projet de loi a été adopté par les deux chambres, la dernière action étant datée du 29 mai 2026. L'intention déclarée du gouverneur de signer signifie que le compte à rebours de la planification est déjà en cours, quelle que soit la date à laquelle la signature apparaîtra.
Sources
- Illinois Legislature passes historic AI bill that would require third-party safety audits(opens in new tab)
- Artificial Intelligence Safety Measures Act - United States | Regulations.AI(opens in new tab)
- Illinois lawmakers send landmark AI frontier model safety bill to Gov. Pritzker(opens in new tab)
- Illinois advances frontier AI transparency and audit requirements(opens in new tab)
- Illinois General Assembly - Bill Status of SB0315(opens in new tab)
Sources
- SpaceX IPO tests depth of retail investors' pockets - Axios(opens in new tab)
- Illinois Legislature passes historic AI bill that would require third ...(opens in new tab)
- Illinois SB 315 AI Audit Requirements: Essential Guide 2025(opens in new tab)
- Artificial Intelligence Safety Measures Act - United States | Regulations.AI - The Site on AI Laws and Regulations | Regulations.ai(opens in new tab)
- Illinois lawmakers send landmark AI frontier model safety bill to Gov ...(opens in new tab)
- Illinois advances frontier AI transparency and audit requirements(opens in new tab)
- Illinois Legislature passes historic AI bill that would require third ...(opens in new tab)
- Illinois advances frontier AI transparency and audit requirements(opens in new tab)
- Illinois lawmakers send landmark AI frontier model safety bill to Gov ...(opens in new tab)
- Illinois General Assembly - Bill Status of SB0315(opens in new tab)
- EU AI Act | TeamMate | Wolters Kluwer(opens in new tab)