OpenAI semble avoir violé la loi californienne sur la sécurité de l'IA avec la dernière version du modèle, affirme un organisme de surveillance

OpenAI aurait violé la nouvelle loi californienne sur la sécurité de l’IA avec la sortie de son dernier modèle de codage, selon des allégations d’un groupe de surveillance de l’IA.

Une violation pourrait potentiellement exposer l’entreprise à des amendes de plusieurs millions de dollars et l’affaire pourrait devenir un premier test déterminant des dispositions de la nouvelle loi.

Vidéo recommandée

La controverse porte sur GPT-5.3-Codex, le tout dernier modèle de codage d’OpenAI, qui a été lancé la semaine dernière. Le modèle fait partie d’un effort d’OpenAI pour reprendre sa position de leader dans le codage assisté par l’IA et, selon les données de référence publiées par OpenAI, montre des performances nettement supérieures sur les tâches de codage par rapport aux versions antérieures d’OpenAI et à des concurrents comme Anthropic. Cependant, le modèle a également suscité des préoccupations de cybersécurité sans précédent.

Le PDG Sam Altman a déclaré que le modèle était le premier à atteindre la catégorie de risque « élevé » pour la cybersécurité selon le cadre de préparation de l’entreprise, un système de classification interne des risques utilisé par OpenAI pour les lancements de modèles. Cela signifie qu’OpenAI classe essentiellement le modèle comme étant suffisamment compétent en codage pour potentiellement faciliter des dommages cybernétiques importants, surtout s’il est automatisé ou utilisé à grande échelle.

Le groupe de surveillance de l’IA, The Midas Project, affirme qu’OpenAI n’a pas respecté ses propres engagements en matière de sécurité — qui sont désormais légalement contraignants en vertu de la loi californienne — lors du lancement du nouveau modèle à haut risque.

Le SB 53 de la Californie, entré en vigueur en janvier, oblige les grandes entreprises d’IA à publier et à respecter leurs propres cadres de sécurité détaillant comment elles préviendront les risques catastrophiques — définis comme des incidents causant plus de 50 décès ou 1 milliard de dollars de dommages matériels — issus de leurs modèles. Il interdit également à ces entreprises de faire des déclarations trompeuses concernant leur conformité.

Le cadre de sécurité d’OpenAI exige des mesures de protection particulières pour les modèles présentant un risque élevé pour la cybersécurité, afin d’empêcher l’IA de devenir incontrôlable et de faire des choses comme agir de manière trompeuse, saboter la recherche en sécurité ou dissimuler ses véritables capacités. Cependant, l’entreprise n’a pas mis en œuvre ces mesures avant le lancement de GPT-5.3-Codex.

OpenAI explique que cela est dû à une formulation « ambiguë » dans le cadre. Dans un rapport de sécurité accompagnant le modèle, OpenAI a indiqué que ces mesures ne sont nécessaires que lorsque le risque cyber élevé « en conjonction avec » une autonomie à long terme — la capacité à fonctionner de manière indépendante sur une période prolongée. Étant donné que l’entreprise estime que GPT-5.3-Codex ne possède pas cette autonomie, elle affirme que ces mesures n’étaient pas requises.

Un porte-parole d’OpenAI a déclaré à Fortune que l’entreprise était « confiante dans notre conformité aux lois de sécurité de pointe, y compris le SB53 ».

« GPT-5.3-Codex a terminé notre processus complet de test et de gouvernance, comme détaillé dans la fiche système publiée publiquement, et n’a pas démontré de capacités d’autonomie à long terme selon des évaluations par procuration et confirmées par des jugements d’experts internes, y compris de notre Groupe consultatif en sécurité », a déclaré le porte-parole. Ils ont indiqué que l’entreprise avait l’intention de clarifier le langage du Cadre de préparation actuel pour mieux communiquer ce que l’entreprise considérait comme son intention initiale, plutôt que de modifier une pratique interne.

Cependant, certains chercheurs en sécurité contestent cette interprétation. Nathan Calvin, vice-président des affaires d’État et conseiller général d’Encode, a écrit sur X : « Plutôt que d’admettre qu’ils n’ont pas suivi leur plan ou l’ont mis à jour avant la sortie, il semble qu’OpenAI dise que les critères étaient ambigus. D’après la lecture des documents pertinents… cela ne me paraît pas ambigu. »

Le groupe The Midas Project affirme également qu’OpenAI ne peut pas prouver de manière définitive que le modèle manque de l’autonomie requise pour les mesures supplémentaires, car le modèle précédent, moins avancé, surpassait déjà les benchmarks mondiaux pour l’accomplissement autonome de tâches. Le groupe soutient que même si les règles étaient floues, OpenAI aurait dû les clarifier avant de lancer le modèle.

Tyler Johnston, fondateur de Midas Project, a qualifié la violation potentielle d’« particulièrement embarrassante étant donné que le seuil fixé par le SB 53 est très bas : il suffit d’adopter un plan de sécurité volontaire de votre choix et de communiquer honnêtement à son sujet, en le modifiant si nécessaire, sans violer ni mentir à son sujet. »

Si une enquête est ouverte et que les allégations s’avèrent exactes, le SB 53 prévoit des sanctions importantes pour les violations, pouvant atteindre plusieurs millions de dollars en fonction de la gravité et de la durée de la non-conformité. Un représentant du bureau du procureur général de Californie a déclaré à Fortune que le département était « engagé à faire respecter les lois de notre État, y compris celles adoptées pour accroître la transparence et la sécurité dans le domaine émergent de l’IA ». Cependant, ils ont précisé que le département n’était pas en mesure de commenter, ni même de confirmer ou nier, d’éventuelles enquêtes en cours ou potentielles.

Rejoignez-nous au Sommet sur l’Innovation en Milieu de Travail Fortune du 19 au 20 mai 2026, à Atlanta. La prochaine ère de l’innovation en milieu de travail est là — et l’ancien manuel est en train d’être réécrit. Lors de cet événement exclusif et dynamique, les leaders les plus innovants du monde se réuniront pour explorer comment l’IA, l’humanité et la stratégie convergent pour redéfinir, encore une fois, l’avenir du travail. Inscrivez-vous dès maintenant.