Industry

Trump signe un décret sur l'IA : ce que cela signifie pour les agents

· The Agent Report · 10 min read
Trump signe un décret sur l'IA : ce que cela signifie pour les agents
📑 Table of Contents

Introduction

Cinq semaines après que le modèle Mythos d’Anthropic a démontré sa capacité à découvrir et enchaîner de manière autonome des vulnérabilités zero-day sur tous les principaux systèmes d’exploitation et navigateurs, l’administration Trump a répondu par son action de politique d’IA la plus significative à ce jour. Le décret sur la promotion de l’innovation et de la sécurité en matière d’intelligence artificielle avancée, signé le 2 juin, établit le premier mécanisme formel du gouvernement américain pour évaluer les modèles d’IA frontières avant leur mise à disposition du public — bien que sur une base volontaire.

Ce décret arrive après un retard tumultueux de deux semaines. Initialement prévu pour le 21 mai avec une cérémonie de signature des PDG, il a été retiré à la dernière minute après des objections du président Trump, de conseillers seniors et de dirigeants technologiques qui estimaient qu’une fenêtre d’examen de 90 jours dans une version antérieure était trop contraignante, selon une analyse du CSIS. La version finale réduit cette fenêtre à 30 jours et s’ouvre sur un signal clair : sa première ligne attribue le leadership américain en IA, en partie, à un refus « d’étouffer cette innovation par une réglementation trop lourde ».

Pour l’écosystème des agents d’IA — où les modèles opèrent de plus en plus de manière autonome, enchaînent des outils et interagissent avec des systèmes de production — le décret soulève des questions qui vont bien au-delà de la cybersécurité. Il introduit une évaluation gouvernementale classifiée dans le pipeline de développement des agents, crée une infrastructure institutionnelle parallèle et potentiellement confuse, et laisse la communauté open-source dans une zone grise incertaine.

Ce que fait réellement le décret

Le décret s’articule autour de trois piliers opérationnels :

1. Renforcement des systèmes fédéraux (délai de 30 jours)

D’ici le 2 juillet environ, le Comité des systèmes de sécurité nationale doit prioriser la cyberdéfense des systèmes de sécurité nationale. Le secrétaire à la Sécurité intérieure, via la CISA, doit émettre des directives opérationnelles contraignantes pour accélérer la cyberdéfense des systèmes informatiques des agences civiles fédérales et étendre les outils défensifs basés sur l’IA. De manière cruciale, la CISA est chargée de faciliter l’accès aux services de cybersécurité — y compris les « modèles frontières couverts » — pour les gouvernements étatiques et locaux ainsi que les opérateurs d’infrastructures critiques tels que les hôpitaux ruraux, les banques communautaires et les services publics locaux, comme le détaille le Benton Institute.

2. Cadre volontaire pour les modèles frontières (délai de 60 jours)

D’ici le 1er août, une coalition dirigée par le Trésor, la NSA et la CISA doit :

  • Développer et maintenir un processus d’évaluation classifié pour évaluer les capacités cybernétiques avancées des modèles d’IA et définir le seuil de désignation « modèle frontière couvert ». Le directeur de la NSA prendra la décision finale, selon l’analyse juridique de Morrison Foerster.
  • Concevoir un cadre volontaire par lequel les développeurs d’IA peuvent fournir au gouvernement un accès aux modèles couverts pour une période allant jusqu’à 30 jours avant leur publication à d’autres partenaires de confiance, sous réserve de protections en matière de confidentialité, de cybersécurité, de propriété intellectuelle et de non-divulgation.
  • Permettre aux développeurs de collaborer avec le gouvernement pour sélectionner des partenaires de confiance pour un accès anticipé.

Le décret interdit explicitement toute licence obligatoire, pré-autorisation ou permis pour tout modèle d’IA. Comme le note Mayer Brown, « rien dans le cadre ne peut être interprété comme autorisant une exigence gouvernementale obligatoire de licence, de permis ou de pré-autorisation. »

3. Application pénale contre les cybercrimes facilités par l’IA

Le procureur général est chargé de prioriser l’application des lois pénales fédérales existantes — y compris le 18 U.S.C. § 1030 (Computer Fraud and Abuse Act) — contre les individus qui utilisent l’IA pour un accès non autorisé à des ordinateurs. Le décret nomme spécifiquement « l’emploi d’agents d’IA pour accéder illégalement à des données utilisées à des fins criminelles » comme une priorité d’application (Morrison Foerster). Cela ne crée pas de nouvelle responsabilité pénale, mais signale une attention accrue des procureurs sur l’utilisation abusive des agents d’IA.

La chambre de compensation pour la cybersécurité de l’IA

Le secrétaire au Trésor Scott Bessent — dont les démarches proactives auprès des dirigeants financiers après la sortie de Mythos ont façonné l’architecture du décret — dirigera une chambre de compensation volontaire qui « coordonne et résout les conflits de scan des vulnérabilités logicielles, découvre et valide ces vulnérabilités, et coordonne et priorise la correction et la distribution des correctifs de vulnérabilité. »

Le choix du Trésor comme chef de file, avec le directeur national de la cybersécurité, le DoD et le DHS dans des rôles consultatifs, reflète l’influence prépondérante du secteur financier sur le décret. Selon le CSIS, le secrétaire au Trésor Bessent et l’ancien président de la Fed Jerome Powell ont convoqué des réunions d’urgence avec des dirigeants financiers après que Mythos a démontré ses capacités d’exploitation zero-day en avril — montrant clairement que Wall Street, et pas seulement la communauté du renseignement, conduisait le processus politique.

Évaluations classifiées de la NSA : ce que nous savons

Le processus d’évaluation classifié sera maintenu par la NSA et utilisé pour déterminer quels modèles franchissent le seuil de « modèle frontière couvert ». Les implications clés :

  • Les évaluations et critères d’évaluation seront classifiés, ce qui signifie que l’industrie ne verra pas ce contre quoi elle est mesurée.
  • Les évaluations « peuvent » être partagées avec les développeurs et chercheurs d’IA « le cas échéant », mais il n’y a aucune garantie de transparence.
  • La chef de cabinet de la Maison Blanche, Susie Wiles, a été désignée pour aider à décider quels modèles sont qualifiés, signalant une implication politique dans ce qui serait normalement une détermination technique.

L’analyse experte de l’Atlantic Council identifie trois points de friction dans la mise en œuvre : l’évaluation classifiée empêche des attentes partagées entre le gouvernement et l’industrie ; la piste institutionnelle parallèle avec le Centre existant du NIST pour les normes et l’innovation en IA (CAISI) crée de la confusion ; et la participation volontaire dépend entièrement de la bonne volonté de l’industrie — un développeur pourrait théoriquement précipiter un modèle sur le marché pour éviter la fenêtre de 30 jours.

États-Unis vs. UE : des philosophies réglementaires divergentes

Le contraste avec la loi européenne sur l’IA ne pourrait être plus frappant. La loi européenne sur l’IA, entrée en vigueur en août 2024 avec des échéances de conformité progressives jusqu’en 2027, est un cadre réglementaire complet et basé sur les risques qui catégorise les systèmes d’IA par niveau de risque et impose des exigences contraignantes — y compris des interdictions pures et simples de certaines applications à « risque inacceptable », des évaluations de conformité obligatoires pour les systèmes à haut risque, et des obligations de transparence pour les modèles d’IA à usage général.

Le décret Trump, en comparaison, est une directive volontaire de cybersécurité. Différences clés :

Dimension Loi européenne sur l’IA Décret Trump (juin 2026)
Force juridique Règlement contraignant avec des pénalités allant jusqu’à 7 % du chiffre d’affaires annuel mondial Cadre volontaire ; interdit explicitement les licences obligatoires
Portée Tous les systèmes d’IA catégorisés par niveau de risque Modèles d’IA frontières avec capacités cybernétiques avancées
Évaluation Évaluations de conformité, évaluations d’impact sur les droits fondamentaux Évaluations classifiées de la NSA (critères non publics)
Application Bureau européen de l’IA, autorités nationales de surveillance du marché Aucun nouvel organe d’application ; s’appuie sur les agences existantes
Approche Précautionneuse — réguler d’abord, innover dans les garde-fous Accélérationniste — innover d’abord, évaluer volontairement

L’approche de l’administration Trump reflète sa stratégie d’IA cohérente en trois piliers : déréglementer pour promouvoir l’innovation, devancer les lois étatiques sur l’IA, et affirmer le leadership mondial américain. Comme le documente le Benton Institute, ce décret est le dernier d’une série — après le décret de décembre 2025 ciblant les lois étatiques sur l’IA et le cadre législatif de mars 2026 recommandant la préemption fédérale.

Impact sur les grandes entreprises d’IA

Anthropic : le catalyseur

Anthropic est à la fois la raison pour laquelle ce décret existe et son partie la plus affectée. Mythos, publié en avril 2026 sous l’accès restreint du Project Glasswing, a démontré une découverte autonome de zero-day et un enchaînement d’exploits qui a directement déclenché la réponse politique de l’administration. Anthropic a déjà construit des évaluations de capacités internes, des programmes de red-teaming et des cadres de risque frontière — des pratiques que le décret formalise effectivement à travers l’industrie.

OpenAI

Le GPT-5.5 Cyber d’OpenAI, publié peu après Mythos avec des capacités similaires via son programme de prévisualisation Daybreak, le place directement dans le champ d’application du décret. Comme Anthropic, OpenAI testait déjà volontairement ses modèles avec le Centre du Département du Commerce pour les normes et l’innovation en IA (CAISI) avant leur publication — le décret étend cette pratique à davantage d’agences, selon le CSIS.

Google (DeepMind)

DeepMind, ainsi que Microsoft et xAI, participe déjà aux tests volontaires de pré-publication avec CAISI. Le décret ajoute une piste classifiée parallèle. La question est de savoir si Google, qui a historiquement adopté une approche plus prudente concernant les publications de modèles frontières, considérera l’évaluation classifiée comme une opportunité ou un obstacle.

Meta et l’open-source

Meta — dont les modèles Llama sont publiés ouvertement — occupe une position ambiguë. Le cadre volontaire du décret est conçu pour les modèles fermés avec accès API, où un développeur contrôle le calendrier de publication. Les modèles à poids ouverts comme Llama ne s’intègrent pas facilement dans un examen de pré-publication de 30 jours, car les poids peuvent être téléchargés et exécutés localement par n’importe qui. Le décret n’aborde pas explicitement l’open-source, mais le processus d’évaluation classifié pourrait créer une pression de facto : si les poids d’un modèle frontière sont publiés sans examen gouvernemental, il pourrait faire l’objet d’un examen accru dans le cadre des dispositions d’application pénale.

Ce que cela signifie pour le développement d’agents d’IA open-source

L’écosystème des agents open-source — frameworks comme CrewAI, AutoGen, LangGraph, Dify et OpenClaw — opère en grande partie en dehors du champ d’application direct du décret, mais fait face à des conséquences indirectes :

  1. Dépendance au modèle. Les développeurs d’agents open-source s’appuient sur des modèles frontières comme moteurs de raisonnement. Si les modèles les plus capables (Claude, GPT-5.5, futurs systèmes de classe Mythos) sont de plus en plus verrouillés derrière des processus d’évaluation classifiés, l’écart entre les capacités des agents ouverts et propriétaires pourrait se creuser.

  2. Le déficit de responsabilité. Comme le note Steven Tiell de l’Atlantic Council, « l’évaluation classifiée crée un déficit de responsabilité — les gouvernements étatiques et locaux et les opérateurs d’infrastructures critiques seront invités à agir sur des évaluations qu’ils ne peuvent pas vérifier. » Les développeurs open-source, qui par définition opèrent de manière transparente, n’auront aucun accès aux critères classifiés utilisés pour juger si leurs modèles sont « sûrs ».

  3. Risque d’application pour cybercriminalité. La directive du décret de prioriser les poursuites contre les « agents d’IA utilisés pour accéder illégalement à des données » crée une exposition juridique pour les développeurs d’agents — même ceux qui construisent des outils légitimes. Un framework d’agent open-source qui peut être détourné pour un accès non autorisé pourrait attirer l’attention, même si cela n’a jamais été l’intention du développeur.

  4. Le fossé volontaire. Parce que le cadre est volontaire et axé sur l’accès pré-publication pour les modèles fermés, les publications open-source font face à une asymétrie structurelle : les développeurs de modèles fermés peuvent utiliser la fenêtre de 30 jours pour construire des relations gouvernementales et façonner les politiques, tandis que les développeurs open-source opèrent entièrement en dehors de la tente.

Réactions de l’industrie : les accélérationnistes règnent toujours

Les réponses des think tanks et des analystes juridiques sont mitigées. Aalok Mehta et Lauryn Williams du CSIS notent que l’approche légère et volontaire du décret « révèle que les accélérationnistes règnent toujours » — l’administration a priorisé les préoccupations de l’industrie par rapport à la demande publique de garde-fous plus solides, même si les sondages montrent constamment que les Américains sont favorables à une réglementation fédérale de l’IA.

L’Atlantic Council l’a qualifié de « politique sérieuse avec le soutien des parties prenantes nécessaires des deux côtés de l’allée et de l’industrie », mais a averti que la fenêtre de 30 jours pourrait être insuffisante — la propre réponse du gouvernement à Mythos a pris environ 60 jours, et les opérateurs d’infrastructures critiques se déplacent généralement encore plus lentement.

Ropes & Gray a décrit le décret comme « un cadre volontaire avec des implications obligatoires », notant que l’architecture institutionnelle — évaluations classifiées de la NSA, chambre de compensation pour la cybersécurité de l’IA et examen pré-publication géré par le gouvernement — pourrait évoluer en exigences de facto au fil du temps, même si le texte interdit les licences obligatoires.

Du côté de l’industrie, la participation semble probable. Anthropic, OpenAI et Google ont rencontré le gouvernement au sujet de la cybersécurité pendant le développement du décret, selon Reuters. La pratique existante de tests volontaires via CAISI signifie que le décret formalise et étend ce qui se faisait déjà — pas un changement radical.

FAQ

Q : Ce décret est-il obligatoire ? Les entreprises d’IA seront-elles forcées de soumettre leurs modèles ?

Non. Le cadre est explicitement volontaire. Le décret stipule que rien dans celui-ci n’autorise « une licence, un permis ou une pré-autorisation gouvernementale obligatoire ». Les entreprises peuvent choisir de ne pas participer. Cependant, l’architecture institutionnelle en cours de construction — évaluations classifiées, chambre de compensation pour la cybersécurité et directives d’agences — crée une pression significative pour adhérer, en particulier pour les entreprises cherchant des contrats gouvernementaux ou opérant dans des secteurs réglementés.

Q : Qu’est-ce qu’un « modèle frontière couvert » ?

Le terme sera défini par un processus d’évaluation classifié développé par la NSA d’ici le 1er août 2026. Sur la base des événements déclencheurs, il s’appliquera probablement aux modèles dotés de capacités cybernétiques autonomes avancées — comme la capacité de découvrir et d’exploiter des vulnérabilités logicielles sans guidance humaine. Le seuil exact reste inconnu et classifié.

Q : Comment cela affecte-t-il spécifiquement les agents d’IA ?

Le décret nomme explicitement « l’emploi d’agents d’IA pour accéder illégalement à des données » comme une priorité d’application pénale. Plus largement, les agents d’IA autonomes — qui enchaînent des outils, interagissent avec des systèmes et opèrent sans supervision humaine étape par étape — sont la catégorie d’IA la plus susceptible de déclencher la désignation « modèle frontière couvert », car leurs capacités autonomes soulèvent les préoccupations de cybersécurité les plus aiguës.

Q : Cela s’applique-t-il aux modèles open-source comme Llama ?

Le décret n’aborde pas explicitement les modèles à poids ouverts. Le cadre volontaire de pré-publication de 30 jours est conçu pour les développeurs qui contrôlent le calendrier de publication d’un modèle — ce qui ne s’applique pas aux publications à poids ouverts où n’importe qui peut télécharger et exécuter le modèle. Cependant, les dispositions d’application pénale s’appliquent indépendamment du fait qu’un modèle soit ouvert ou fermé.

Q : Comment cela se compare-t-il à la loi européenne sur l’IA ?

La loi européenne sur l’IA est une réglementation complète et contraignante couvrant tous les systèmes d’IA avec des catégories de risque hiérarchisées et des pénalités significatives en cas de non-conformité. Le décret Trump est une directive étroite et volontaire de cybersécurité qui interdit explicitement les exigences obligatoires. Ils représentent des philosophies réglementaires fondamentalement différentes — l’approche de précaution de l’UE contre le modèle d’innovation d’abord et de collaboration volontaire des États-Unis.

Lectures complémentaires