Entreprises d'IA réglementées

Oui, tout fournisseur d'IA qui traite des renseignements de santé protégés au nom d'une entité couverte est un associé d'affaires en vertu de HIPAA, et la BAA est la condition préalable de la relation. La BAA vous impose directement la règle de sécurité HIPAA : chiffrement, contrôles d'accès, notification des violations et transmission aux sous-traitants. Les hôpitaux ne déploieront pas votre produit sans elle, et la plupart des équipes d'achats d'entreprise exigent désormais l'examen de la BAA avant d'évaluer l'adéquation clinique.

L'employeur porte l'obligation légale en vertu de la Local Law 144 de New York, mais l'audit de biais est impraticable sans vos données, votre documentation de modèle et votre méthodologie de notation. Réalité pratique : vous coopérez, vous vous y engagez par contrat et vous tarifez la coopération dans votre contrat. La plupart des clients d'entreprise exigent désormais un engagement du fournisseur à fournir des données prêtes pour l'audit selon une cadence définie; reculer fait stagner la transaction.

Votre IA est un dispositif médical lorsqu'elle est destinée à des fins médicales (diagnostic, traitement, atténuation, prévention) sans faire partie d'un dispositif matériel. Le cadre Software as a Medical Device de la FDA traite la plupart des aides à la décision clinique en IA/AA comme des SaMD, l'autorisation 510(k) étant la voie la plus courante par rapport à un dispositif prédicat et De Novo pour des logiciels nouveaux à risque faible à modéré. La classification dépend de l'usage prévu tel que vous le commercialisez, pas de ce que le modèle peut techniquement faire.

La Réserve fédérale, l'OCC et la FDIC ont abrogé les directives de risque de modèle de 2011 (SR 11-7) et les ont remplacées par un cadre fondé sur des principes (SR 26-2) qui aborde explicitement l'IA générative et agentique. Impact pratique : les attentes de validation s'appliquent désormais aux outils basés sur des LLM que le cadre de 2011 traitait de façon ambiguë, les attestations de modèles tiers s'élargissent, et les agences se sont engagées à publier d'autres directives spécifiques à l'IA. Les banques et leurs fournisseurs d'IA fintech partagent la charge de validation à chaque cycle d'examen.

Lorsqu'un assureur dans un État adoptant contracte avec vous, le bulletin modèle de la NAIC exige que cet assureur maintienne un programme documenté de systèmes d'IA couvrant chaque IA utilisée, y compris la vôtre. L'assureur vous transmet la demande de documentation, les droits d'audit et les exigences de signalement d'incidents en aval. Environ vingt-quatre États ont adopté le bulletin, et le projet pilote 2026 d'outil multi-États d'évaluation de l'IA de la NAIC annonce une attention plus large aux examens de conduite de marché.

La lettre d'industrie de la NYDFS d'octobre 2024 ordonne aux entités couvertes agréées à New York d'évaluer les risques de cybersécurité liés à l'IA, y compris le risque tiers transmis en aval à vous. La banque est la partie réglementée mais ne peut satisfaire l'évaluation sans votre documentation de contrôles d'accès, vos attestations de chaîne d'approvisionnement et vos artefacts de surveillance. Attendez-vous à ce que les attentes de la lettre apparaissent dans votre contrat sous forme d'obligations de coopération, de droits d'audit et de fenêtres de notification d'incident.

Les tribunaux fédéraux permettent désormais que les fournisseurs d'IA pour le recrutement et les employeurs soient nommés dans la même action en discrimination, à la suite de Mobley v. Workday dans le district nord de la Californie. La certification d'action collective de mai 2025 a traité le fournisseur d'IA comme un « agent » de l'employeur aux fins de la responsabilité; Harper v. Sirius XM et les affaires connexes prolongent le modèle. Effet pratique : votre entente client doit attribuer ce risque explicitement par des clauses d'indemnisation, de coopération et de règlement des différends, sans le laisser au droit du mandat par défaut.

L'employeur est la cible légale en vertu de l'ADA et du Titre VII, mais des recours collectifs récents nomment ensemble le fournisseur d'IA et l'employeur lorsque le modèle rejette des aménagements. Selon la théorie fédérale de l'impact disparate toujours en vigueur, un employeur reste responsable même si le résultat discriminatoire a été produit par un outil tiers, et l'indemnisation contractuelle du fournisseur devient le facteur décisif pour savoir qui absorbe le coût. Une révision humaine significative à chaque décision défavorable est la base attendue par le régulateur.

En vertu de la SB 24-205 du Colorado, un déployeur d'IA à haut risque doit réaliser une évaluation d'impact et mettre en œuvre une politique de gestion des risques calquée sur un cadre reconnu comme le NIST AI RMF. L'évaluation d'impact couvre l'objectif, les sorties prévues, le résumé des données d'entraînement, les indicateurs de performance et les risques connus de discrimination algorithmique. La loi devait initialement entrer en vigueur le 1er février 2026; SB25B-004 l'a reportée au 30 juin 2026. Le profil d'IA générative publié en juillet 2024 couvre les risques propres à l'IA générative.

Oui, l'Equal Credit Opportunity Act et la Régulation B interdisent les pratiques de créancier ayant un impact disparate sur les classes protégées, peu importe qu'un humain ou une IA ait pris la décision. Les régulateurs bancaires fédéraux (Fed, OCC, FDIC) et le CFPB traitent la discrimination algorithmique en crédit comme une priorité d'application en cours; le rapport AI in Financial Services du Trésor américain signale les avis d'action défavorable, la documentation des modèles et l'explicabilité comme sujets d'examen actifs. Les attestations de modèles fournisseurs deviennent partie du dossier de défense de votre client.

Oui, les trois sont désormais standards pour les fournisseurs d'IA qui vendent à des acheteurs réglementés; reculer sur le principe fait stagner les transactions, et la négociation se joue sur la portée et les plafonds en dollars. Les droits d'audit se limitent généralement à une fois par an avec un préavis raisonnable et confidentialité. L'indemnisation est plafonnée au plus élevé des frais payés ou d'un plancher négocié, avec exclusions pour la contrefaçon de PI et la négligence grave. Les clauses de coopération avec les régulateurs précisent des fenêtres de notification définies, la direction par avocat et le remboursement des dépenses raisonnables.

Les deux pages peuvent convenir; beaucoup d'entreprises d'IA chevauchent, et le bon point de départ dépend de votre coût immédiat. Cette page est le bon foyer si la conformité sectorielle est la contrainte : BAA HIPAA, documentation NAIC, classification FDA ou audits de biais de New York, avec des acheteurs réglementés qui contrôlent les achats. La page Entreprises d'IA & d'IA générative est le bon foyer si l'exposition aux données d'entraînement, la responsabilité des sorties, le nettoyage de la PI sur la table de capitalisation pour les investisseurs ou les cadres réglementaires propres à l'IA (loi sur l'IA de l'UE, SB 942 de Californie, règles génériques à haut risque du Colorado) sont la contrainte. L'appel stratégique couvre les deux voies si vous chevauchez.