Ce n’est pas une bulle du pape, mais pas loin. Dans l’executive order (EO) signé ce mardi 2 juin, Donald Trump rappelle les mesures déjà mises en œuvre depuis le début de son second mandat, dont « [la suppression des] contraintes bureaucratiques que l’administration précédente avait imposées aux développeurs et aux chercheurs américains ». Surtout, l’EO liste une série de mécanismes visant à amplifier le mouvement pour « promouvoir l’innovation et la sécurité de l’IA ».

Report de dernière minute

Mais voilà, ce décret présidentiel aurait déjà dû être paraphé le 21 mai, et tout semblait prêt pour que ce soit le cas. Mais David Sacks, l’ancien « tsar » de l’IA nommé par Donald Trump, a arraché un délai de dernière minute, comme l’explique Politico.

L’ancien EO mettait en place un mécanisme volontaire de supervision pour les entreprises IA : certains modèles avancés auraient pu être soumis à un examen par plusieurs agences fédérales jusqu’à 90 jours avant leur publication. L’administration Trump avait un temps imaginé d’imposer ce dispositif aux entreprises, avant de revenir à une position moins tranchée. La perspective n’en inquiétait pas moins une partie de l’industrie, qui voyait dans ce mécanisme les prémices d’un contrôle gouvernemental plus poussé sur les modèles les plus puissants.

• IA

  Washington veut pouvoir tester les nouveaux modèles IA avant tout le monde

  IA

  Mercredi 06 mai 2026 à 16h10 06/05/2026 16h10

  6

La mesure a notamment été imaginée suite aux craintes d’un modèle comme Mythos sur ses capacités d’attaque envers les infrastructures critiques. David Sacks, porte-voix de l’industrie en sa qualité d’associé fondateur du fonds de capital-risque Craft Ventures, aurait expliqué à Trump que les entreprises n’avaient pas besoin d’une mesure coercitive : elles coopèrent déjà volontairement. Autre argument : un examen des modèles par le gouvernement ralentirait la marche de l’IA, ce qui nuirait aux États-Unis dans sa course contre la Chine.

La signature a donc été reportée et avec elle, une bonne partie du (faible) mordant initial du décret présidentiel. La mouture finale renforce l’idée que le gouvernement fédéral n’impose pas de licence obligatoire, pas d’autorisation avant lancement, pas de « permis » pour publier un modèle. Un cadre est mis en place pour les développeurs volontaires, dans lequel ils peuvent fournir un accès anticipé à leurs modèles 30 jours maximum avant leur mise à disposition.

Le texte ordonne la création, sous les 30 jours, d’un centre de coordination de la cybersécurité liée à l’IA, en collaboration — là aussi volontaire — avec des entreprises du secteur et les opérateurs des infrastructures critiques. Il regroupera plusieurs activités aujourd’hui dispersées entre plusieurs agences du gouvernement pour détecter des vulnérabilités logicielles, mesurer les niveaux de risque de ces failles, coordonner la réponse et la diffusion des correctifs. Il s’agit d’éviter que chacun, dans le privé comme dans le public, fasse sa tambouille dans son coin. C’est louable, mais le caractère non contraignant de ce centre risque d’en diluer la force de frappe.

Un coup pour rien ?

Le décret demande également à plusieurs agences, dont la NSA et le Trésor, de mettre au point dans les 60 jours un processus d’évaluation pour déterminer les modèles IA considérés comme suffisamment puissants pour présenter un risque particulier. Les critères de ce processus resteront secrets, pour éviter que des acteurs malveillants ne connaissent les capacités qui intéressent les autorités.

L’EO ne le précise pas, mais les agences pourraient par exemple mesurer la capacité d’un modèle à découvrir des vulnérabilités zero-day, à écrire du code malveillant, à automatiser des campagnes de piratage, ou à contourner des systèmes de sécurité. Le dernier mot reviendra à la NSA, l’agence du renseignement états-unien. Le NIST, souvent considéré comme plus neutre et technique, est écarté de la décision finale.

L’EO exige aussi du ministère de la Justice de poursuivre les personnes utilisant l’IA pour pirater des systèmes, voler des données ou commettre des infractions informatiques. Si l’architecture générale entre les deux versions du texte est similaire, la version finale adoucit fortement les aspects les plus contraignants pour l’industrie, en insistant notamment sur le caractère volontaire de certaines mesures. Et surtout, elle exclut tout système de licence ou d’autorisation préalable.