À New Delhi, l’appel de Sam Altman à une régulation « urgente » et la priorité française donnée à la protection des mineurs dessinent une même ligne de crête : encadrer vite, sans figer l’innovation ni consacrer des positions dominantes. Derrière les déclarations, une bataille plus structurante se joue sur la définition du risque, la répartition des responsabilités et l’accès aux capacités de calcul.
Le sommet de New Delhi a offert une scène révélatrice de la phase actuelle de la gouvernance de l’intelligence artificielle : une course entre la diffusion industrielle des modèles génératifs et la capacité des États à produire des règles applicables, auditables et compatibles entre juridictions. D’un côté, les acteurs privés les plus avancés cherchent à éviter un retour de bâton politique après l’irruption de systèmes capables de produire du texte, du code et des images à grande échelle. De l’autre, les gouvernements tentent de transformer une inquiétude sociétale diffuse en obligations concrètes, sans casser la dynamique d’investissement ni perdre la compétition technologique. Dans ce contexte, les prises de parole de Sam Altman et d’Emmanuel Macron, bien que motivées par des priorités différentes, convergent sur un point : l’IA n’est plus un sujet de prospective, mais un objet de politique publique.
Le dirigeant d’OpenAI a martelé à New Delhi que le monde a besoin « d’urgence » d’une régulation pour éviter la centralisation de l’IA entre les mains d’une seule entreprise ou d’un seul pays. La formulation est intéressante car elle inverse l’accusation souvent adressée aux leaders du secteur : celle de demander des règles qui, sous couvert de sécurité, élèvent les barrières à l’entrée et consolident les positions acquises. Altman se place ici sur le terrain de la souveraineté et de l’équilibre géopolitique, suggérant qu’un cadre commun limiterait la capture de la valeur par quelques plateformes. En parallèle, la délégation française a mis en avant un sujet plus immédiatement actionnable, la protection des enfants face aux dangers des chatbots, qui renvoie à des mécanismes de conformité déjà connus dans le numérique (contrôle d’âge, design des interfaces, obligations de modération, traçabilité des contenus).
Deux agendas, un même nœud : transformer le risque en obligations
Ces deux angles illustrent la tension centrale de la régulation de l’IA : définir ce qui doit être interdit, ce qui doit être contrôlé, et ce qui doit être documenté. La protection des mineurs pousse vers des exigences de produit et d’usage, donc proches du terrain : garde-fous conversationnels, filtrage de contenus, prévention de l’addiction, limitation de certaines fonctionnalités, transparence sur la nature artificielle de l’interlocuteur. L’argument de la centralisation, lui, vise la couche d’infrastructure et de capacité : accès au calcul, disponibilité des modèles, concentration des données, dépendance aux clouds hyperscale. Or ces deux dimensions se rejoignent dans un même mécanisme : la capacité à imposer des responsabilités tout au long de la chaîne de valeur, du modèle de fondation jusqu’à l’application grand public.
La difficulté est que l’IA générative brouille les catégories juridiques classiques. Les plateformes ne se contentent plus d’héberger des contenus produits par des tiers : elles produisent, recombinent et personnalisent. Les éditeurs d’applications ne se contentent plus d’écrire du code : ils orchestrent des modèles externes, parfois opaques, et ajustent des paramètres qui modifient le comportement. Les entreprises utilisatrices ne se contentent plus d’acheter un logiciel : elles intègrent une capacité probabiliste, susceptible d’halluciner, de discriminer ou de révéler des données. La régulation efficace doit donc articuler trois niveaux : le modèle (capabilités, sécurité, robustesse), le système (intégration, garde-fous, monitoring) et l’usage (contexte, population exposée, finalité).
Pourquoi l’appel des leaders à la régulation n’est pas un paradoxe, mais une stratégie
Quand un acteur dominant demande des règles, il ne cherche pas nécessairement à freiner. Il cherche souvent à stabiliser. Pour OpenAI et ses pairs, l’enjeu est de réduire l’incertitude réglementaire qui pèse sur les déploiements, les partenariats et la monétisation. Un cadre clair permet de transformer des coûts de conformité en avantage compétitif, surtout si l’entreprise dispose déjà d’équipes de sécurité, de juristes et de capacités d’audit. Mais l’argument d’Altman sur la centralisation ajoute une couche : il reconnaît implicitement que la dynamique économique de l’IA tend vers l’oligopole, tirée par trois facteurs cumulatifs.
Premier facteur, le calcul. L’entraînement et l’inférence à grande échelle exigent des GPU, des interconnexions, de l’énergie et des optimisations logicielles qui favorisent les acteurs capables d’investir des milliards et de sécuriser des chaînes d’approvisionnement. Deuxième facteur, les données et les boucles de rétroaction : plus un modèle est utilisé, plus il génère des signaux (retours utilisateurs, logs, préférences) qui améliorent l’alignement et la pertinence, renforçant l’avantage du leader. Troisième facteur, la distribution : l’intégration dans des suites bureautiques, des moteurs de recherche, des OS ou des stores crée des canaux d’adoption quasi automatiques. Dans ce contexte, une régulation bien conçue pourrait, en théorie, limiter certains effets de verrouillage (interopérabilité, portabilité, transparence des performances, conditions d’accès aux API). Mais une régulation mal calibrée peut produire l’inverse, en imposant des obligations si lourdes qu’elles éliminent les challengers.
Réguler la centralisation : concurrence, souveraineté, et accès aux capacités
Le thème de la centralisation renvoie à une question que les textes actuels traitent encore imparfaitement : comment éviter que l’IA ne devienne une infrastructure quasi régalienne contrôlée par quelques entreprises et quelques États. Les outils classiques existent, mais ils sont lents : droit de la concurrence, contrôle des concentrations, régulation des plateformes. Or l’IA évolue à un rythme qui rend les remèdes ex post insuffisants. Les autorités pourraient donc être tentées d’agir ex ante sur des leviers structurels : exigences d’interopérabilité des API, portabilité des données d’entraînement quand elles sont propriétaires, transparence sur les performances et les coûts, conditions non discriminatoires d’accès au cloud et aux accélérateurs, voire obligations de partage de certains modèles dans des cadres sécurisés.
Mais ces options se heurtent à des contraintes de sécurité et de propriété intellectuelle. Plus on impose de transparence, plus on facilite potentiellement la reproduction par des acteurs malveillants ou la copie par des concurrents. Plus on encourage l’ouverture, plus on augmente la surface d’attaque et la diffusion de capacités sensibles (génération de malware, persuasion à grande échelle, contournement de contrôles). La régulation doit donc distinguer la transparence utile (procédures, gouvernance, traçabilité, résultats d’évaluation) de la divulgation dangereuse (détails exploitables, données sensibles, paramètres facilitant l’armement). C’est un équilibre fin, et il est au cœur des discussions internationales : comment standardiser l’évaluation sans standardiser la vulnérabilité.
Le point aveugle : la responsabilité en cascade et la preuve d’innocuité
Le débat public se focalise souvent sur les « modèles » comme entités. Dans la pratique, les incidents naissent dans l’assemblage : un modèle généraliste, un système de récupération de documents (RAG), des connecteurs vers des outils (paiement, messagerie, CRM), et un contexte métier. La question clé devient alors : qui est responsable de quoi, et comment le prouver. Les fournisseurs de modèles plaident pour une responsabilité limitée lorsqu’ils ne contrôlent pas l’usage final. Les intégrateurs veulent des garanties contractuelles et des engagements de service. Les entreprises utilisatrices cherchent à transférer le risque vers les fournisseurs. Les régulateurs, eux, veulent un responsable identifiable, solvable, et capable d’agir vite.
Une voie pragmatique consiste à imposer une responsabilité en cascade, avec des obligations proportionnées au contrôle effectif : le fournisseur du modèle doit documenter les limites, les tests, les données sensibles et les mécanismes de sécurité; l’éditeur de l’application doit prouver l’adéquation au contexte, la mise en place de garde-fous et la surveillance; l’utilisateur professionnel doit assurer la gouvernance interne, la formation, et la supervision humaine quand nécessaire. Cette logique ressemble à celle de la sécurité industrielle ou de la cybersécurité, mais avec une différence majeure : l’IA est probabiliste et évolutive, ce qui rend la « preuve d’innocuité » plus proche d’un dossier vivant que d’une certification figée.
Perspectives : vers une régulation opérable, mesurable, et compatible entre blocs
À court terme, l’enjeu n’est pas de produire un grand texte universel, mais de rendre la régulation opérable. Cela passe par des standards d’évaluation partagés (protocoles de tests, taxonomies d’incidents, formats de rapports), des mécanismes de notification et de réponse coordonnée, et des exigences de traçabilité (versions de modèles, données de configuration, journaux d’interaction) compatibles avec la protection des données. Les États qui réussiront seront ceux qui investiront dans des capacités techniques de contrôle, pas seulement dans la norme. Sans laboratoires, sans accès à des environnements de test, sans compétences pour auditer des systèmes complexes, la régulation restera déclarative.
Sur le plan géopolitique, l’appel à éviter la centralisation pose une question de gouvernance mondiale : qui définit les seuils de risque, qui certifie, et qui a accès aux capacités de calcul nécessaires pour évaluer. Les pays qui n’ont ni hyperscalers ni champions du modèle risquent de devenir des preneurs de règles et des acheteurs de services, dépendants des conditions contractuelles imposées par quelques fournisseurs. D’où l’intérêt d’initiatives de mutualisation : infrastructures de calcul partagées, programmes publics de modèles ouverts ou semi-ouverts, et cadres de coopération pour la recherche en sécurité. Mais ces initiatives ne seront crédibles que si elles s’accompagnent d’une discipline budgétaire et d’une gouvernance qui évite la fragmentation.
Enfin, la protection des mineurs pourrait devenir le terrain où se cristallisent des obligations transposables à d’autres publics vulnérables : personnes âgées, publics en détresse psychologique, ou utilisateurs dans des contextes à forts enjeux (santé, justice, finance). Si les régulateurs parviennent à définir des exigences de design et de monitoring qui réduisent réellement les dommages, ils disposeront d’un modèle d’intervention plus concret que les débats abstraits sur l’AGI. À New Delhi, le signal est clair : la régulation de l’IA ne se jouera pas seulement sur des principes, mais sur la capacité à imposer des preuves, à organiser la responsabilité, et à empêcher que l’infrastructure cognitive du XXIe siècle ne se referme sur quelques centres de gravité.
