L’article de Sayash Kapoor et Arvind Narayanan, Do AI Risks Require Extraordinary Government Intervention? 21 mai 2026 (https://knightcolumbia.org/blog/do-ai-risks-require-extraordinary-government-intervention) pose la question suivante :

les risques liés à l’IA justifient-ils des mesures publiques « extraordinaires », c’est-à-dire des restrictions fortes, préventives et parfois unilatérales sur ce que les entreprises peuvent développer ou diffuser ?

Leur réponse est nuancée. Ils ne nient pas les risques, notamment en matière de cybersécurité et de biosécurité. Leur thèse est plutôt que la réponse la plus robuste n’est pas une politique de non-prolifération de l’IA, mais un investissement massif dans la résilience sociale, technique et institutionnelle.

Le point de départ est une discussion avec Derek Thompson, qui reprend en partie leur cadre d’analyse, « AI as Normal Technology» (cf. https://droitdutravailensuisse.com/2025/04/22/lintelligence-artificielle-comme-technologie-normale/). Selon ce cadre, l’IA doit souvent être pensée comme une technologie générale, importante mais soumise à des lenteurs ordinaires de diffusion. Sur le marché du travail, par exemple, une nouvelle capacité technique ne produit pas immédiatement un bouleversement économique. Il faut construire des produits, adapter les organisations, modifier les processus internes, surmonter des obstacles réglementaires, former les utilisateurs et intégrer l’outil dans des pratiques existantes. C’est pourquoi les auteurs jugent peu crédibles les scénarios de destruction rapide et massive d’emplois de cols blancs. Le fait que la croissance américaine reste moyenne, que le chômage demeure bas et que certains métiers supposés vulnérables à l’automatisation continuent de connaître des hausses d’emploi et de salaires leur paraît compatible avec une diffusion progressive de l’IA.

Mais les auteurs distinguent soigneusement cette analyse économique de l’analyse des risques d’usage malveillant. Pour le marché du travail, la lenteur vient de l’adoption organisationnelle. Pour les risques de cybersécurité, de biologie ou de criminalité, le raisonnement est différent : un attaquant n’a pas besoin de transformer toute une organisation pour causer un dommage. La question centrale devient alors celle de l’équilibre entre l’attaque et la défense. Une capacité nouvelle profite-t-elle davantage aux acteurs malveillants ou aux défenseurs ? La société peut-elle absorber le risque en renforçant ses protections ? C’est ici que Thompson diverge des auteurs. Il estime que l’IA est « anormale » parce que ses capacités émergentes seraient difficiles à prévoir, y compris pour ses développeurs, et qu’elle justifierait donc des restrictions publiques exceptionnelles, par exemple sur la commercialisation ou la mise à disposition de certains systèmes.

Kapoor et Narayanan reprochent toutefois à cette position de rester trop vague sur la nature exacte des mesures envisagées. Ils proposent donc leur propre définition des interventions extraordinaires. Celles-ci présentent généralement trois traits. Elles sont d’abord précautionnaires : elles interdisent ou limitent une activité en raison de dommages anticipés, et non de dommages déjà démontrés. Elles peuvent être justifiées dans certains cas, mais elles exigent alors une base particulièrement solide, surtout si des alternatives moins restrictives existent. Ensuite, elles font peser la charge de la prévention sur des acteurs qui ne sont pas directement les auteurs du dommage. Limiter ce que les entreprises d’IA peuvent publier ou vendre revient à restreindre l’activité de producteurs d’outils à double usage, pour empêcher les abus d’une minorité d’utilisateurs malveillants. Enfin, ces interventions tendent à contourner les processus ordinaires de gouvernement, par exemple par des mesures d’urgence, des ordres exécutifs ou des pouvoirs unilatéraux, alors même que les procédures démocratiques existent précisément pour encadrer les restrictions aux libertés.

L’article reconnaît que l’IA peut produire des risques sérieux. Mais il insiste sur le coût propre des réponses extraordinaires. L’exemple de la non-prolifération nucléaire est central. Le contrôle des armes nucléaires a nécessité l’AIEA, le Traité de non-prolifération, des décennies de diplomatie, des investissements continus et parfois des confrontations militaires. Ce régime a été lourd, mais il reposait au moins sur un goulot d’étranglement matériel : l’uranium enrichi est difficile à obtenir, à produire et à dissimuler. L’IA ne présente pas le même type de contrainte physique. Les techniques de base sont connues, les modèles peuvent être reproduits ou approchés par des États adverses, et les capacités de pointe se diffusent rapidement. Les auteurs estiment ainsi qu’un régime de non-prolifération de l’IA serait fragile, parce qu’il reposerait sur des points de contrôle faciles à contourner ou à voir s’éroder.

Les restrictions à l’exportation de puces, déjà adoptées par les États-Unis, sont traitées avec un certain scepticisme. Les auteurs admettent qu’un État peut vouloir préserver une avance technologique en limitant l’exportation de biens sensibles. Mais ils doutent fortement que ces contrôles empêchent durablement l’accès à des capacités dangereuses. Les modèles ouverts et l’accès par API aux modèles de pointe réduisent l’écart entre capacités privées et capacités largement disponibles. Selon eux, cet écart se mesure plutôt en mois qu’en années. Si les mesures de non-prolifération ne permettent de gagner que quelques mois, l’urgence est d’utiliser ce délai pour renforcer la résilience, non de croire que l’accès aux capacités avancées pourra être bloqué indéfiniment.

Les auteurs décrivent ensuite la pente possible d’une politique de non-prolifération stricte. Pour être réellement efficace, elle devrait aller bien au-delà du contrôle des puces. Il faudrait contrôler les modèles ouverts, surveiller l’accès aux modèles par API, créer des régimes de licence, décider quels modèles peuvent être publiés, voire exercer une autorité continue sur la recherche et les produits diffusés publiquement. Ils évoquent aussi la possibilité de restrictions sur la mobilité internationale des chercheurs travaillant sur l’IA avancée. Leur critique est juridique et institutionnelle : si les partisans de mesures extraordinaires ne disent pas clairement où ils placent la limite, la logique même du risque conduira à demander toujours davantage des pouvoirs publics, au fur et à mesure que les capacités progresseront.

Cette inquiétude dépasse l’IA. Pour les auteurs, traiter l’IA comme une technologie tellement anormale qu’elle justifierait un régime permanent d’exception créerait un précédent pour les prochaines technologies numériques à double usage. Ce ne serait plus une réponse ciblée à un risque spécifique, mais une extension durable du pouvoir de l’État sur ce que les citoyens et les entreprises peuvent construire, publier et rechercher. Ils rappellent que des débats analogues ont déjà eu lieu. Après l’attentat d’Oklahoma City, un projet de loi américain avait envisagé de criminaliser la diffusion en ligne d’informations sur la fabrication d’xplosifs, avant d’être réduit à une version plus étroite exigeant une aide consciente à une infraction. De même, les États-Unis ont longtemps tenté de restreindre la cryptographie, par des contrôles à l’exportation, des projets de portes dérobées et même des poursuites visant la publication de logiciels de chiffrement. Ces restrictions ont finalement été assouplies par les tribunaux et par l’exécutif, et le chiffrement est devenu une infrastructure centrale du commerce électronique, de la banque en ligne et de la sécurité numérique. L’histoire n’impose donc pas une règle absolue, mais elle invite à la prudence avant d’élargir les pouvoirs publics au nom d’une technologie nouvelle.

La solution privilégiée par les auteurs est la résilience. Ils la définissent comme la capacité d’un système à résister au dommage, à s’y adapter et à s’en remettre. Contrairement aux restrictions sur la diffusion des modèles, la résilience ne cherche pas principalement à contrôler les entreprises d’IA. Elle vise à renforcer les systèmes exposés, quels que soient l’origine, le moment ou la forme de l’attaque. La cybersécurité fournit leur exemple principal. L’internet a créé des risques nouveaux, comme les vers informatiques capables de se propager massivement et de causer des milliards de dollars de dommages. La réponse durable n’a pas consisté à interdire l’accès aux ordinateurs ou à l’internet. Elle a consisté à améliorer les navigateurs, les systèmes d’exploitation, les pratiques de correction des failles, les tests automatisés et les programmes de récompense pour la divulgation responsable de vulnérabilités.

Les auteurs insistent sur un point important : certaines technologies déjà anciennes ont donné aux acteurs de la cybersécurité des capacités « surhumaines ». Les fuzzers et les moteurs d’exécution symbolique détectent depuis longtemps des vulnérabilités à une échelle inaccessible aux chercheurs humains non assistés. Ces outils sont pourtant librement disponibles, notamment dans des dépôts open source. Ils peuvent servir à l’attaque, mais ils servent aussi à la défense. Les défenseurs disposent souvent d’avantages structurels : ils connaissent mieux leurs systèmes, peuvent les tester en profondeur, corriger les failles et déployer des mises à jour. L’arrivée des grands modèles de langage dans la détection de vulnérabilités n’est donc pas niée, mais relativisée. Les auteurs demandent si l’amélioration supplémentaire apportée par les LLM justifie vraiment des interventions extraordinaires, alors que la société a déjà absorbé des transitions techniques très importantes dans ce domaine sans régime général d’exception.

Ils ne prétendent pas pour autant que la transition sera indolore. Ils rappellent qu’à certaines périodes, l’équilibre entre attaque et défense a été brutalement perturbé. Des adolescents ont pu lancer des cyberattaques capables de mettre hors service des sites majeurs. L’IA pourrait produire un déséquilibre comparable, en particulier pour les systèmes déjà mal protégés : écoles, hôpitaux, réseaux électriques, petites administrations, collectivités locales et petites entreprises. Des initiatives comme Project Glasswing ou les programmes de financement de la cybersécurité par OpenAI leur paraissent utiles, mais insuffisantes. La réponse sérieuse serait une politique systématique de red teaming assisté par IA, non seulement pour les grandes entreprises technologiques, mais aussi pour les institutions ordinaires qui n’ont ni les budgets ni les équipes nécessaires. Il faudrait aussi étendre les programmes de bug bounty au-delà des produits des grandes entreprises numériques et inciter les experts en sécurité à trouver et signaler des failles dans des infrastructures socialement critiques.

Le même raisonnement vaut, selon eux, pour la biosécurité. L’IA peut abaisser certaines barrières informationnelles, mais une attaque biologique ne dépend pas seulement de l’accès à des informations. Elle suppose l’obtention de matériaux, l’accès à des équipements spécialisés, des compétences pratiques tacites et une chaîne d’exécution concrète. Ces étapes en aval peuvent être renforcées dès maintenant. Les auteurs mentionnent le filtrage plus rigoureux des commandes en biologie de synthèse, l’usage de l’IA pour évaluer la dangerosité de nouveaux composés, le suivi de l’accès à des matériaux dangereux et des exercices offensifs confiés à des experts de confiance pour identifier les failles du dispositif. Ces mesures réduisent les risques biologiques, que ceux-ci soient ou non facilités par l’IA.

L’article se termine par une explication institutionnelle : si la résilience est si utile, pourquoi n’a-t-elle pas déjà été priorisée ? La réponse est que la résilience exige une gouvernance ordinaire, mais efficace. Elle suppose des lois, des budgets, de la coordination entre agences, des systèmes d’alerte précoce, des centres de ressources, une circulation rapide de l’information et une collaboration avec de nombreux acteurs publics et privés. C’est précisément ce que les auteurs estiment difficile dans le contexte américain, marqué par l’accumulation de points de veto, la lourdeur procédurale et une capacité administrative affaiblie. À l’inverse, les mesures extraordinaires paraissent séduisantes parce qu’elles sont simples à formuler, moralement satisfaisantes et politiquement plus directes : elles font peser la charge sur les entreprises qui développent l’IA et peuvent souvent être prises par l’exécutif seul.

La conclusion est donc moins technologique que constitutionnelle et administrative. Kapoor et Narayanan comprennent l’attrait des mesures d’exception, mais ils préfèrent l’amélioration du gouvernement ordinaire. La non-prolifération de l’IA est fragile parce qu’elle repose sur un goulot d’étranglement unique. La résilience, au contraire, distribue les défenses dans l’ensemble de la société. Si les États misent principalement sur l’interdiction ou le contrôle des capacités avancées, un seul progrès technique rendant les modèles moins chers à entraîner pourrait faire céder tout le dispositif. Le dommage serait alors plus grave si, entre-temps, la société n’a pas renforcé ses systèmes de défense.

Pour des juristes suisses, l’intérêt du texte tient à cette mise en garde : la régulation de l’IA ne doit pas être pensée seulement comme une question de contrôle des fournisseurs, mais aussi comme une question de capacité institutionnelle, de proportionnalité, de maintien des processus démocratiques et de préparation concrète des secteurs exposés.

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et Intelligence artificielle, CAS en Protection des données – Entreprise et administration