Exigences émergentes de la SEC imposant aux sociétés cotées de divulguer les risques importants liés à l'IA, les pratiques de gouvernance de l'IA et les impacts liés à l'IA dans les documents déposés auprès des autorités boursières.
La US Securities and Exchange Commission (SEC) se concentre de plus en plus sur les divulgations relatives à l'intelligence artificielle par les sociétés cotées, sous l'effet de l'importance des risques et des opportunités liés à l'IA pour les investisseurs. Bien qu'il n'existe pas de « règle de divulgation unique de la SEC en matière d'IA », la SEC utilise les cadres de divulgation existants, les actions répressives et les projets de réglementation pour définir des attentes quant à la manière dont les sociétés cotées devraient divulguer les questions liées à l'IA.
L'intérêt de la SEC pour les divulgations relatives à l'IA s'exerce sur plusieurs fronts. Premièrement, le cadre de divulgation existant fondé sur des principes exige des entreprises qu'elles divulguent les risques importants, y compris ceux liés à l'IA. Le président de la SEC, Gary Gensler, a souligné que les entreprises ne devaient pas se livrer à de l'« AI washing », faire des déclarations trompeuses sur les capacités de l'IA, et la SEC a engagé des actions répressives contre des entreprises pour des déclarations trompeuses liées à l'IA.
En mars 2024, la SEC a accusé deux conseillers en investissement d'avoir fait des déclarations fausses et trompeuses sur leur prétendue utilisation de l'IA dans les processus d'investissement. Ces actions répressives indiquent que la SEC traite les déclarations relatives à l'IA comme des déclarations importantes soumises aux dispositions anti-fraude des lois sur les valeurs mobilières.
La SEC a également indiqué que les exigences de divulgation existantes au titre de la Regulation S-K couvrent déjà de nombreuses divulgations liées à l'IA. L'Item 105 (Risk Factors) exige la divulgation des risques importants liés à l'IA, notamment les risques de cybersécurité associés à l'IA, les risques de défaillance des modèles d'IA, les risques réglementaires découlant des lois émergentes sur l'IA et les risques concurrentiels liés à la disruption par l'IA. L'Item 101 (Description of Business) peut exiger la divulgation d'une utilisation importante de l'IA dans les activités de l'entreprise. L'Item 103 (Legal Proceedings) exige la divulgation des litiges liés à l'IA.
Les règles proposées par la SEC en matière de divulgation de la cybersécurité (adoptées en 2023) ont également une incidence sur la gouvernance de l'IA, car les systèmes d'IA sont exposés à des risques de cybersécurité et les incidents impliquant des systèmes d'IA peuvent déclencher des obligations de divulgation au titre des nouvelles règles de cybersécurité.
Pour les entreprises utilisant l'IA dans les services financiers, la SEC a proposé la Rule 15l-2 en juillet 2023, qui obligerait les courtiers-négociants et les conseillers en investissement à éliminer ou à neutraliser les conflits d'intérêts associés à l'utilisation de l'analyse prédictive des données et de l'IA dans les interactions avec les investisseurs. Bien que cette proposition se soit heurtée à une opposition importante du secteur et que son avenir soit incertain, elle reflète l'attention que porte la SEC à l'impact de l'IA dans les services financiers.
Les priorités d'examen de la SEC ont également inclus la gouvernance de l'IA, la Division of Examinations ayant indiqué qu'elle examinerait les divulgations relatives à l'IA des entreprises, leurs pratiques de gouvernance de l'IA et leur gestion des risques liés à l'IA dans le cadre des examens de routine.
Pour les professionnels de la conformité des sociétés cotées, l'impact pratique est clair : les risques, la gouvernance et l'utilisation liés à l'IA doivent être évalués au regard de leur importance et divulgués de manière appropriée dans les dépôts périodiques. Les conseils d'administration devraient superviser la stratégie et les risques liés à l'IA, et les entreprises devraient veiller à ce que toute déclaration publique sur les capacités de l'IA soit exacte et non trompeuse.
L'intersection de la divulgation relative à l'IA avec le reporting ESG est également notable, car les investisseurs considèrent de plus en plus l'IA responsable comme une composante d'une bonne gouvernance. Les divulgations relatives à la gouvernance de l'IA pourraient devenir un élément standard des rapports annuels et des circulaires de sollicitation de procurations.
Divulguer les risques importants liés à l'IA dans les dépôts auprès de la SEC (10-K Risk Factors)
Veiller à ce que les déclarations relatives à l'IA dans les communications publiques soient exactes et non trompeuses
Divulguer une utilisation importante de l'IA dans les activités de l'entreprise lorsque cela est pertinent
Déclarer les litiges et les actions réglementaires liés à l'IA
Se conformer aux règles de divulgation de la cybersécurité pour les incidents liés à l'IA
Traiter la gouvernance de l'IA dans les divulgations relatives à la gouvernance d'entreprise
Évaluer et divulguer les conflits d'intérêts dans les services financiers fondés sur l'IA (le cas échéant)
Supervision par le conseil d'administration de la stratégie, des risques et de la gouvernance liés à l'IA
Contrôles internes sur l'information financière et les divulgations liées à l'IA
Suivre les orientations et la réglementation de la SEC sur les exigences de divulgation propres à l'IA
Il n'existe pas encore de règle de divulgation propre à l'IA. Toutefois, les exigences de divulgation existantes fondées sur des principes (Regulation S-K) exigent déjà la divulgation des risques et des utilisations importants liés à l'IA. La SEC a également engagé des actions répressives pour des déclarations trompeuses sur l'IA au titre des dispositions anti-fraude existantes.
L'« AI washing » désigne le fait pour des entreprises de faire des déclarations exagérées ou trompeuses sur leur utilisation de l'IA afin d'attirer les investisseurs. La SEC considère cela comme une déclaration inexacte importante susceptible d'induire les investisseurs en erreur et a engagé des actions répressives contre des entreprises pour de fausses déclarations sur l'IA.
Bien qu'il n'existe pas d'exigence explicite de la SEC en matière de supervision de l'IA au niveau du conseil d'administration, les bonnes pratiques de gouvernance et les attentes des investisseurs l'exigent de plus en plus. La stratégie et les risques liés à l'IA sont des questions importantes qui relèvent des responsabilités de supervision du conseil d'administration.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.