Trump abandonne son décret sur l'IA et la cybersécurité

Ce qui s'est passé

La scène était prévue de longue date : une cérémonie de signature à la Maison Blanche, entourée de PDG de l'industrie technologique et d'experts en IA. Mais le 21 mai 2026, quelques heures seulement avant l'événement programmé, Donald Trump a annulé la signature d'un décret présidentiel sur l'intelligence artificielle et la cybersécurité. Interrogé par les journalistes, le président a justifié sa décision laconiquement : « I did not like certain aspects of it » et « I do not want to do anything that is going to get in the way of that lead. » Selon des sources proches du dossier citées par Axios et NBC News, la raison profonde est idéologique : Trump déteste la régulation, et son conseiller IA David Sacks a également rejeté le texte, le qualifiant de « quelque chose que les doomers voulaient ».

Le texte du décret, dont des extraits ont été publiés par Axios le lendemain, comportait deux volets principaux. Le premier volet, orienté IA, aurait créé un processus volontaire permettant au gouvernement fédéral d'évaluer les modèles IA « frontier » entre 14 et 90 jours avant leur mise sur le marché. Cette évaluation aurait été confiée au Center for AI Standards and Innovation (CASI) du NIST, qui aurait eu la charge de définir un seuil technique délimitant les modèles soumis à ce processus, désignés comme « covered frontier models ».

Le second volet, cybersécurité, était plus directif. Il prévoyait la création d'un processus de benchmarking classifié, piloté conjointement par le département du Trésor, la NSA et la CISA, pour évaluer les capacités cyber offensives et défensives des modèles IA avancés. Ce processus aurait également permis de définir un seuil technique objectif au-delà duquel un modèle serait considéré comme présentant un risque systémique pour la sécurité nationale. Le texte comprenait également des directives pour renforcer la résilience des infrastructures critiques — réseaux d'énergie, hôpitaux ruraux, systèmes d'eau — contre les cyberattaques alimentées par l'IA générative et les agents autonomes.

Sur le plan des ressources humaines, le décret mandatait l'Office of Personnel Management pour élargir les voies de recrutement de spécialistes en cybersécurité dans le cadre du programme U.S. Tech Force. L'Office of Management and Budget aurait par ailleurs été chargé d'évaluer si des programmes de subventions existants pouvaient être redirigés vers la détection de vulnérabilités par IA. Sur le plan judiciaire, le texte demandait au procureur général de prioriser les poursuites pénales contre quiconque utilise l'IA pour accéder illégalement à des systèmes informatiques, en vertu des lois anti-fraude informatique fédérales existantes.

La chronologie de cet abandon est particulièrement révélatrice. Seulement seize jours avant l'annulation, le 5 mai 2026, le NIST avait annoncé la signature d'accords de test pré-déploiement volontaires avec Google, Microsoft et xAI. OpenAI et Anthropic disposaient déjà d'accords similaires depuis 2024, et le NIST avait déjà conduit plus de 40 évaluations de modèles IA dans ce cadre. Le décret n'aurait donc pas créé une rupture mais formalisé une pratique déjà émergente. Que Trump ait décidé de s'y opposer malgré cela illustre la primauté des considérations idéologiques sur les considérations de sécurité nationale dans cette décision.

Selon le Federal News Network, la Maison Blanche étudie toujours la question, laissant la porte ouverte à une version allégée ou à un mécanisme alternatif. TechCrunch rapporte que Trump aurait affirmé ne pas vouloir entraver l'avance américaine sur l'IA. Cette formule révèle une conviction profonde dans l'administration : toute friction réglementaire sur l'IA risque de céder du terrain à la Chine dans la compétition technologique mondiale, quand bien même cette friction viserait à améliorer la sécurité des systèmes déployés.

Dans l'immédiat, l'absence de décret fédéral laisse le champ libre aux États. Le Colorado, dont la loi sur l'IA à haut risque entre en vigueur le 30 juin 2026, et plusieurs autres États engagés dans des initiatives législatives propres vont continuer à construire un patchwork réglementaire hétérogène. Pour les entreprises qui déploient des systèmes IA sur le territoire américain, cette fragmentation accroît la complexité de conformité sans apporter les garanties de sécurité qu'un cadre fédéral cohérent aurait pu offrir.

Côté industrie, les réactions sont contrastées. Si certains acteurs de l'écosystème IA se réjouissent d'éviter de nouvelles contraintes, d'autres — notamment dans le secteur de la défense et de la cybersécurité — auraient préféré un cadre clair permettant de distinguer les modèles évalués des modèles non évalués. Ce critère est informellement utilisé dans les appels d'offres gouvernementaux sensibles, et son absence de formalisation légale complique les processus de qualification des solutions IA dans les marchés publics.

Pourquoi c'est important

Cet abandon révèle une fracture profonde au sein même de l'administration Trump entre les partisans d'une approche de sécurité nationale rigoureuse et ceux qui considèrent toute régulation comme un frein à la compétitivité. Le fait que David Sacks — l'un des architectes de la politique technologique de l'administration — se soit opposé au texte indique que la logique « innovation first, safety later » est clairement dominante à Washington, même sur les sujets de sécurité nationale.

Cette posture contraste frontalement avec l'évolution européenne. Le 7 mai 2026, moins de deux semaines avant l'annulation du décret Trump, l'UE finalisait un accord provisoire sur l'AI Act Omnibus. Si ce texte assouplit certains délais pour les entreprises, il renforce parallèlement les interdictions sur les usages les plus dangereux de l'IA et accélère les obligations de marquage des contenus générés par IA. La divergence transatlantique se creuse, avec des implications concrètes : les modèles IA développés aux États-Unis sans évaluation pré-déploiement devront néanmoins se conformer à l'AI Act dès lors qu'ils sont déployés sur le territoire européen.

Pour les équipes de sécurité, l'absence de processus de test pré-déploiement fédéral maintient une zone grise sur les capacités offensives des modèles les plus puissants. La crise Project Glasswing — découverte en avril 2026 par Anthropic de plus de 10 000 failles critiques potentiellement générables par son modèle Mythos — avait pourtant démontré que les risques cyber liés aux modèles frontier sont réels et documentés. L'abandon du décret signifie que l'évaluation de ces risques reste à la discrétion des entreprises elles-mêmes, sans supervision indépendante.

À plus long terme, cette décision pourrait affecter la crédibilité internationale des produits IA américains. Si les pays alliés — membres de l'UE, Royaume-Uni, Japon, Corée du Sud — renforcent leurs propres exigences de test pré-déploiement, les entreprises américaines qui ne se seront pas soumises à une évaluation indépendante pourraient se voir exclues de certains marchés gouvernementaux étrangers. L'effet Bruxelles, bien documenté avec le RGPD, pourrait se reproduire avec l'AI Act.

Ce qu'il faut retenir

• Trump a annulé le 21 mai 2026 son décret IA/cybersécurité, privant les États-Unis d'un cadre fédéral pour l'évaluation pré-déploiement des modèles frontier.
• Le texte annulé prévoyait un processus volontaire de 14 à 90 jours avant toute mise sur le marché et un benchmarking classifié NSA/CISA/Trésor sur les capacités cyber des modèles.
• La divergence entre la dérégulation américaine et le renforcement du cadre européen crée des asymétries de conformité que les entreprises franco-européennes utilisant des modèles IA américains doivent anticiper.