Lois sur l’intelligence artificielle en 2026 : la carte de conformité mondiale

L’essentiel

  • Les États-Unis n’ont toujours pas de loi fédérale globale sur l’intelligence artificielle en 2026. Un décret présidentiel de décembre 2025 revendique la primauté fédérale sur les lois d’État qui contraindraient les modèles à modifier leurs sorties véridiques, et la loi-phare du Colorado SB 24-205 a été suspendue par un juge fédéral en avril 2026.
  • Le règlement européen sur l’IA devient la référence mondiale le 2 août 2026, date d’application des obligations relatives aux systèmes à haut risque et de l’entrée en vigueur des amendes de la Commission.
  • Trois rôles, et non trois drapeaux, déterminent vos obligations : fournisseur, déployeur et fournisseur de modèle d’IA à usage général. Le même rôle porte des devoirs similaires que vous livriez dans l’Union européenne, en Corée ou au Brésil.
  • La norme ISO/IEC 42001 et le NIST AI Risk Management Framework forment le dénominateur opérationnel qui couvre la majorité des juridictions en un seul mouvement.
  • AI Sigil traduit cette cartographie en contrôles opérationnels, en preuves et en inventaire IA, transformant le passage du texte réglementaire au dossier d’audit en flux de travail plutôt qu’en projet de recherche.

La carte juridique de l’IA en 2026

Le paysage mondial se lit aujourd’hui en deux registres. D’un côté, les régimes globaux fondés sur le risque structurent les obligations autour de l’usage du système : règlement européen sur l’IA, loi-cadre coréenne AI Basic Act effective au 22 janvier 2026, projet brésilien PL 2338/2023. De l’autre, une mosaïque sectorielle s’appuie sur la protection des consommateurs, le droit antidiscrimination et la réglementation financière pour couvrir l’IA : États-Unis, Royaume-Uni et Canada au niveau fédéral. La conséquence pratique est qu’une entreprise présente sur plusieurs marchés a besoin d’un modèle de conformité interne unique, capable de s’enclencher dans l’un ou l’autre type de régime. La géographie ne dicte plus le contenu des obligations. Le rôle joué dans la chaîne de valeur de l’IA, oui. Ce constat éclaire aussi la portée du décret présidentiel américain de décembre 2025. Il signale que les États-Unis résisteront à une fragmentation État par État et s’appuieront sur les agences fédérales sectorielles, principalement la FTC, l’EEOC, le CFPB et le HHS. Le décret enjoint l’exécutif d’identifier les lois d’État qui imposeraient aux modèles d’altérer leurs sorties véridiques et d’agir en justice pour les écarter.

Le règlement européen sur l’IA, référence mondiale

Le règlement européen sur l’IA est entré en vigueur le 1ᵉʳ août 2024 et s’applique selon un calendrier échelonné. Sa structure repose sur quatre niveaux de risque et un régime parallèle pour les modèles d’IA à usage général.

Les niveaux de risque

Les pratiques interdites, listées à l’article 5, prohibent l’IA manipulatrice ou exploitative, le scoring social par les autorités publiques, le moissonnage non ciblé d’images faciales, l’inférence d’émotions sur le lieu de travail et à l’école, ainsi que la quasi-totalité de l’identification biométrique en temps réel dans les espaces publics. Ces interdictions s’appliquent depuis le 2 février 2025. Les systèmes à haut risque sont énumérés à l’annexe III. Ils couvrent notamment l’identification biométrique, les infrastructures critiques, l’évaluation dans l’éducation et la formation, la sélection et la gestion du personnel, l’accès aux services essentiels, l’application de la loi, la migration et l’administration de la justice et des processus démocratiques. Les obligations correspondantes s’appliquent à partir du 2 août 2026. Les systèmes à risque limité déclenchent un devoir de transparence au titre de l’article 50 : l’utilisateur doit savoir qu’il interagit avec une IA, et les contenus synthétiques doivent porter des marquages lisibles par machine. La période de grâce pour le marquage des contenus synthétiques s’achève le 2 décembre 2026. Les modèles d’IA à usage général, qu’ils soient placés sur le marché européen ou non, sont soumis à des devoirs de documentation et de transparence sur le droit d’auteur depuis le 2 août 2025. Les modèles classés comme présentant un risque systémique font face à des obligations supplémentaires d’évaluation, d’exercices de red-teaming et de notification d’incidents graves.

Obligations du fournisseur et du déployeur

Un fournisseur de système à haut risque dans l’Union doit opérer un processus de gestion des risques, tenir une documentation technique alignée sur l’annexe IV, garantir la qualité et la gouvernance des données, intégrer la transparence et la supervision humaine, mener une évaluation de conformité, enregistrer le système dans la base de données européenne lorsque requis, et opérer une surveillance après commercialisation. Un déployeur doit assurer la supervision humaine en opération, respecter les instructions d’usage du fournisseur, conduire une analyse d’impact sur les droits fondamentaux lorsque l’article 27 l’exige, et journaliser les opérations automatisées. Le Conseil et le Parlement européens se sont accordés le 7 mai 2026 sur un paquet de simplification visant à réduire les doublons avec le droit sectoriel de la sécurité des produits et à clarifier la documentation GPAI. La structure fondée sur le risque, les échéances d’août 2026 et les catégories de rôle restent inchangées.

Sanctions

Les amendes administratives maximales atteignent 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, le plus élevé étant retenu, pour les pratiques interdites. Les autres violations exposent à 15 millions d’euros ou 3 % du chiffre d’affaires. Les informations trompeuses transmises aux autorités sont passibles de 7,5 millions d’euros ou 1 %. Les pouvoirs d’exécution de la Commission sur les fournisseurs de modèles GPAI prennent effet le 2 août 2026.

Les États-Unis : primauté fédérale et application sectorielle

Aucune loi fédérale globale sur l’IA n’existe en 2026. Le Congressional Research Service décrit le paysage fédéral comme un empilement de décrets, de réglementations d’agences et de statuts sectoriels.

Action fédérale

Le décret présidentiel 14110, signé en 2023, a été abrogé début 2025. Le décret de décembre 2025 sur le cadre national de politique IA l’a remplacé. Il enjoint au procureur général d’évaluer les lois d’État qui interféreraient avec les intérêts fédéraux, en particulier celles qui contraindraient les modèles à modifier leurs sorties véridiques. Ce décret est la cause directe de la suspension fédérale du Colorado SB 24-205 le 27 avril 2026. L’application fédérale passe par des autorités généralistes. La Federal Trade Commission utilise la section 5 du FTC Act pour sanctionner les pratiques d’IA déloyales ou trompeuses. L’Equal Employment Opportunity Commission applique le Titre VII et l’Americans with Disabilities Act aux décisions d’emploi assistées par IA. Le Consumer Financial Protection Bureau supervise l’IA utilisée pour le crédit et la souscription. Le Department of Health and Human Services applique HIPAA et la section 1557 à l’aide à la décision clinique.

Lois d’État et municipales

L’activité étatique a culminé en 2024 et 2025, puis ralenti sous la pression fédérale. Les mesures les plus citées comprennent :

  • Colorado SB 24-205, première loi globale d’État sur l’IA, devait prendre effet au 1ᵉʳ février 2026, puis reportée au 30 juin 2026 par SB 25B-004, puis suspendue par un juge fédéral le 27 avril 2026. La législature du Colorado a adopté un texte de remplacement, SB 189, entre le 7 et le 9 mai 2026.
  • Local Law 144 de New York City, qui impose un audit de biais annuel et la notification des candidats pour les outils automatisés de décision d’emploi.
  • Illinois Artificial Intelligence Video Interview Act, qui exige le consentement pour l’analyse IA des entretiens.
  • California SB 53, qui impose la divulgation par les développeurs de grands modèles d’IA.
  • Tennessee ELVIS Act, qui protège la voix et la ressemblance contre le clonage par IA.
  • Utah Artificial Intelligence Policy Act, qui ajoute des devoirs de divulgation pour l’IA générative dans les professions réglementées.

Les lois d’État survivent dans des périmètres plus étroits : audits de biais, divulgation de deepfakes, protection de la voix et de la ressemblance. Les régimes étatiques globaux affrontent un vent contraire fédéral plus rude.

Le reste du monde : comparable mais distinct

Un tour d’horizon confirme que les obligations par rôle voyagent bien. Le Royaume-Uni suit un régime fondé sur des principes, sans loi générale sur l’IA. Les régulateurs existants, la Competition and Markets Authority, la Financial Conduct Authority, l’Information Commissioner’s Office et Ofcom, appliquent cinq principes communs à l’IA dans leurs secteurs. L’ICO conserve les dents les plus longues, avec des amendes jusqu’à 17,5 millions de livres ou 4 % du chiffre d’affaires mondial au titre du UK GDPR. La Chine dispose du dispositif d’IA spécifique le plus dense. Les règles de gestion des algorithmes de recommandation (2022), les dispositions sur la synthèse profonde (2023) et les mesures provisoires sur les services d’IA générative (2023) imposent l’étiquetage, le dépôt et la modération des contenus. Les fournisseurs déposent leurs algorithmes auprès de la Cyberspace Administration of China et appliquent une vérification d’identité réelle. Le Japon est passé d’une stratégie de soft law à un statut, l’AI Promotion Act de 2025. Le régime met l’accent sur l’innovation et le respect volontaire des lignes directrices du ministère de l’Économie, du Commerce et de l’Industrie. Les obligations dures concernent la transparence pour l’IA générative et les marchés publics. Le Brésil examine le projet PL 2338/2023, un texte fondé sur le risque, qui reproduit la structure européenne avec des seuils adaptés. Son adoption est attendue en 2026, assortie d’une période de transition. La Corée du Sud a adopté l’AI Basic Act, devenu la première loi globale d’Asie le 22 janvier 2026. Il introduit une catégorie d’IA à fort impact, alignée dans les grandes lignes sur la catégorie haut risque de l’UE, et exige gestion des risques, transparence et analyse d’impact. Le Canada a interrompu son action fédérale : l’Artificial Intelligence and Data Act, intégré au Bill C-27, est tombé avec la prorogation parlementaire. La Loi 25 québécoise continue d’encadrer les décisions automatisées qui affectent significativement les individus. En France, la CNIL et l’ACPR demeurent les autorités sectorielles de référence pour l’application du règlement européen, en lien avec l’ANSSI pour la cybersécurité.

Cartographie des obligations : fournisseur, déployeur, fournisseur GPAI

La lecture multi-juridictionnelle révèle que les obligations se regroupent par rôle. Les fournisseurs de systèmes d’IA portent la charge documentaire la plus lourde. Que ce soit sous le règlement européen, l’AI Basic Act coréen ou l’esprit de l’application sectorielle américaine, ils doivent :

  • Opérer un processus de gestion des risques sur tout le cycle de vie du système.
  • Maintenir une documentation technique traçant les choix de conception, la gouvernance des données d’entraînement, les résultats d’évaluation et les limites connues.
  • Appliquer une gouvernance des données portant sur la provenance, la représentativité et le contrôle des biais.
  • Construire pour la transparence vis-à-vis du déployeur, avec des instructions d’usage, une finalité, et la liste des contraintes connues.
  • Conduire une évaluation de conformité ou une analyse d’impact avant mise sur le marché.
  • Opérer une surveillance après commercialisation et notifier les incidents graves aux autorités.

Les déployeurs portent les obligations opérationnelles :

  • Utiliser le système strictement dans la finalité prévue par le fournisseur.
  • Maintenir une supervision humaine proportionnée au risque.
  • Conduire une analyse d’impact sur les droits fondamentaux lorsque l’article 27 du règlement européen l’exige.
  • Journaliser les sorties automatisées afin de permettre l’audit et la réponse à incident.
  • Informer les personnes concernées lorsque l’IA intervient de manière déterminante dans une décision les visant, lorsque la loi locale l’exige.

Les fournisseurs de modèles GPAI cumulent ces couches :

  • Documenter la conception du modèle, les données d’entraînement et la posture sur le droit d’auteur.
  • Soutenir les fournisseurs en aval par des fiches de modèle et des résumés de capacités.
  • Pour les modèles présentant un risque systémique, opérer évaluations de modèle, exercices de red-teaming, évaluations de cybersécurité et notification d’incidents graves.

Une entreprise peut endosser plusieurs rôles à la fois. Un éditeur SaaS qui réajuste un modèle ouvert et l’intègre dans un outil de recrutement est simultanément fournisseur, déployeur et intégrateur GPAI en aval. Chaque devoir s’applique dans sa propre colonne.

Sanctions comparées

Quantifier l’exposition clarifie la priorisation :

  • Règlement européen sur l’IA : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel pour les pratiques interdites ; jusqu’à 15 millions ou 3 % pour les violations haut risque et GPAI ; jusqu’à 7,5 millions ou 1 % pour les informations trompeuses transmises aux autorités.
  • Application sectorielle fédérale américaine : les sanctions FTC s’additionnent par violation et peuvent être combinées avec restitution ; les remèdes EEOC incluent arriérés de salaire, réintégration et dommages compensatoires ; les ordonnances CFPB dépassent fréquemment 10 millions de dollars dans les services financiers.
  • Royaume-Uni, ICO : jusqu’à 17,5 millions de livres ou 4 % du chiffre d’affaires mondial.
  • Chine, CAC : injonctions de cesser, censure publique, amendes proportionnelles au revenu et responsabilité personnelle des représentants légaux.
  • Corée, AI Basic Act : amendes jusqu’à 30 millions de wons pour les manquements procéduraux et amendes proportionnelles pour les manquements matériels, avec sanctions de réputation via un registre public.

Les chiffres varient, mais le coût opérationnel domine le tableau : chaque régime exige la même pile de preuves, et l’entreprise capable de la produire à la demande remporte ses audits partout.

Pourquoi ISO/IEC 42001 et NIST AI RMF sont les dénominateurs opérationnels

La convergence entre régimes n’est pas accidentelle. Les régulateurs des deux côtés de l’Atlantique ont puisé dans la même littérature technique lors de la rédaction de leurs règles, et cette littérature s’est cristallisée en deux normes. ISO/IEC 42001:2023 spécifie un système de management de l’IA, dont la structure est identique à celle d’ISO 27001 pour la sécurité de l’information et d’ISO 9001 pour la qualité. Une organisation qui opère un AIMS conforme à ISO/IEC 42001 dispose déjà d’une politique IA, d’un périmètre défini, d’un processus d’évaluation des risques et d’impact, d’un catalogue de contrôles par l’annexe A, d’une supervision des fournisseurs et d’un cycle d’audit interne. Les analyses indépendantes estiment que cela couvre environ 70 % des obligations documentaires des systèmes à haut risque sous le règlement européen. Le NIST AI Risk Management Framework version 1.0, publié en janvier 2023, organise la fiabilité de l’IA autour de quatre fonctions : Govern, Map, Measure, Manage. Le Generative AI Profile (NIST AI 600-1) de juillet 2024 superpose 12 catégories de risques propres à l’IA générative et plus de 400 actions de mitigation. Les régulateurs coréens et singapouriens citent le NIST AI RMF dans leurs propres lignes directrices. Les régulateurs sectoriels américains s’y réfèrent comme à un point de comparaison raisonnable. Deux normes harmonisées européennes à venir complèteront ce paysage. CEN-CENELEC prEN 18228 traite de la gestion des risques liés à l’IA, et prEN 18282 traite de la cybersécurité IA. Une fois publiées, elles offriront aux fournisseurs européens de systèmes à haut risque une présomption de conformité avec les articles correspondants du règlement. La conséquence opérationnelle est qu’une organisation qui opère sérieusement un AIMS ISO/IEC 42001, en correspondance avec les fonctions du NIST AI RMF, et dont les contrôles sont prouvés dans un inventaire IA unique, a accompli 80 % du travail nécessaire à la conformité dans l’Union européenne, sous l’application sectorielle américaine, en Corée, au Royaume-Uni, et sous les régimes brésilien et japonais en préparation. Les 20 % restants relèvent de la documentation spécifique à chaque juridiction, des enregistrements et des reportings.

Liste de vérification de conformité 2026 pour les fournisseurs et déployeurs d’IA

Le 2 août 2026, tout système d’IA placé sur le marché européen ou affectant des utilisateurs de l’Union doit satisfaire au régime haut risque, s’il relève de l’annexe III, et au régime GPAI, s’il y correspond. La séquence minimale pour livrer dans les temps :

  1. Inventaire. Construisez un inventaire IA unique qui liste chaque système, chaque variante de modèle, chaque contexte de déploiement et chaque jeu de données. L’inventaire est la colonne vertébrale de tous les audits à venir.
  2. Classification. Pour chaque entrée, déterminez votre rôle (fournisseur, déployeur, fournisseur GPAI, importateur, distributeur) et le niveau de risque au sens du règlement européen (interdit, haut risque, risque limité, risque minimal, GPAI, GPAI à risque systémique). Recommencez sous l’AI Basic Act coréen et toute loi d’État américaine applicable.
  3. Documentation. Pour chaque entrée haut risque et GPAI, produisez un dossier technique aligné sur l’annexe IV. Réutilisez les contrôles de l’annexe A d’ISO/IEC 42001 comme colonne vertébrale et complétez par les sections propres à l’UE (finalité, métriques d’exactitude, mésusage prévisible).
  4. Évaluation. Conduisez une analyse d’impact sur les droits fondamentaux pour les systèmes à haut risque utilisés dans les contextes de l’article 27. Réutilisez cette analyse pour les audits de biais du Local Law 144 de NYC, les devoirs de non-discrimination algorithmique de type Colorado et l’analyse d’impact coréenne.
  5. Conformité. Bouclez la voie d’évaluation de conformité applicable à chaque système haut risque. Pour la plupart des systèmes de l’annexe III, c’est la voie du contrôle interne ; pour l’identification biométrique et certaines infrastructures critiques, un organisme notifié est requis.
  6. Enregistrement. Inscrivez chaque système haut risque qui le requiert dans la base de données européenne. Inscrivez les déployeurs publics dans la sous-base concernée.
  7. Formation. Formez le personnel au niveau d’alphabétisation IA exigé par l’article 4, applicable depuis le 2 février 2025. Formez les déployeurs aux instructions d’usage du fournisseur.
  8. Marquage. Implémentez les marquages lisibles par machine sur les contenus synthétiques d’ici le 2 décembre 2026, fin de la période de grâce de l’article 50.
  9. Surveillance. Opérez une surveillance après commercialisation sur tout système haut risque déployé. Reliez la notification des incidents graves à un point d’entrée unique.
  10. Audit. Cadencez le cycle d’audit interne de sorte que chaque contrôle AIMS soit échantillonné au moins une fois par an, et que les constats nourrissent la revue de direction.

La plupart de ces étapes sont identiques à Séoul, Brasilia ou Bruxelles. Les différences résident dans les registres, le libellé des trames d’analyse d’impact et la langue des notifications destinées aux utilisateurs.

Questions fréquentes

Existe-t-il une loi sur l’IA aux États-Unis en 2026 ? Il n’existe pas de statut fédéral global. L’IA est régulée par la FTC, l’EEOC, le CFPB, le HHS et d’autres agences sectorielles, ainsi que par une mosaïque de lois d’État en recul. Le décret fédéral de décembre 2025 sur la politique nationale IA revendique la primauté sur les lois d’État qui contraindraient les modèles à altérer leurs sorties véridiques et a déjà déclenché la suspension du Colorado SB 24-205. Quelle est la loi sur l’IA la plus stricte en 2026 ? Le règlement européen sur l’IA porte les amendes administratives les plus élevées, jusqu’à 7 % du chiffre d’affaires mondial pour les pratiques interdites, et s’applique de manière extraterritoriale lorsque l’IA affecte des personnes dans l’Union. La loi-cadre coréenne présente une structure proche avec des montants plus modestes. Le régime chinois est le plus prescriptif sur les contenus, mais limite sa portée transfrontalière. Quelle loi s’applique si je construis un modèle aux États-Unis pour le vendre en Europe ? Les deux. Le règlement européen s’applique de manière extraterritoriale au titre de l’article 2, paragraphe 1, point c) lorsque la sortie du système est utilisée dans l’Union. Vous devenez fournisseur dans l’Union, indépendamment du lieu de développement du modèle. Le droit sectoriel américain reste applicable de votre côté. Quand le règlement européen commence-t-il à sanctionner ? Les amendes pour pratiques interdites sont mobilisables depuis le 2 août 2025. Les pouvoirs d’exécution de la Commission sur les fournisseurs GPAI prennent effet le 2 août 2026. L’application sur les systèmes à haut risque démarre également le 2 août 2026. Les PME doivent-elles se conformer au règlement européen sur l’IA ? Oui, dès lors qu’elles placent ou opèrent un système à haut risque sur le marché européen. Le règlement comporte des clauses de proportionnalité et des exemptions pour les composants libres et ouverts non haut risque, mais il n’exempte pas les PME des obligations haut risque. Le paquet de simplification de mai 2026 ajoute de nouvelles mesures de proportionnalité. Quelle différence entre fournisseur et déployeur d’IA ? Le fournisseur a développé le système, ou l’a fait développer pour lui, et le place sur le marché sous son nom. Le déployeur opère un système d’IA dans un contexte professionnel. La même entreprise peut être les deux à la fois, auquel cas les deux jeux d’obligations s’appliquent. La certification ISO/IEC 42001 vaut-elle conformité au règlement européen ? Non, mais elle vous emmène très loin. ISO/IEC 42001 couvre environ 70 % des exigences documentaires haut risque. L’évaluation de conformité au titre du règlement, l’enregistrement dans la base européenne et les obligations de transparence de l’article 50 restent des tâches à part entière. Les normes harmonisées futures prEN 18228 et prEN 18282 viendront combler une partie du chemin restant.

Conclusion

Lire les lois IA pays par pays en 2026 est une partie perdue d’avance. Les mêmes obligations voyagent entre juridictions et se regroupent autour de trois rôles. Les organisations qui remportent leurs audits cette année sont celles qui ont construit un inventaire IA unique, un processus unique d’analyse des risques et d’impact, un jeu de contrôles unique, une bibliothèque de preuves unique, puis y ont projeté le règlement européen, l’application sectorielle américaine, l’AI Basic Act coréen, les règles chinoises et les principes britanniques. AI Sigil opère précisément sur cette colonne vertébrale. La plateforme transforme le texte réglementaire en entrées d’inventaire IA, classification de rôles, contrôles, preuves, pistes d’audit et dossiers documentaires prêts à passer les évaluations de conformité. Si les douze prochains mois se jugeront à ce que vous pourrez produire un jour d’audit, le moment de faire de la conformité IA un flux de travail, et non un projet de recherche, est maintenant.

Publications similaires