L’essentiel
- La requête « ai regulatory » recouvre deux réalités distinctes : la réglementation publique de l’intelligence artificielle d’une part, l’IA utilisée par les fonctions conformité d’autre part. Ce guide traite la première, qui structure la quasi-totalité des résultats de recherche en 2026.
- Quatre régimes d’ancrage déterminent l’essentiel des obligations opérationnelles : le règlement européen sur l’IA (Règlement 2024/1689), l’écosystème américain (orientations fédérales et lois d’État), l’approche britannique pro-innovation et sectorielle, et le cadre chinois conduit par la Cyberspace Administration of China.
- Une couche conventionnelle s’ajoute désormais à l’édifice : la Convention-cadre du Conseil de l’Europe sur l’IA, premier traité international juridiquement contraignant en matière d’IA, ratifié par l’Union européenne le 15 mai 2026.
- Deux standards opérationnels rendent l’ensemble gouvernable : ISO/IEC 42001 comme colonne vertébrale du système de management de l’IA, et le NIST AI Risk Management Framework comme bibliothèque de contrôles. Un même système peut satisfaire plusieurs autorités à la condition d’être correctement aligné.
- Le travail concret se structure par type d’obligation : transparence, gestion des risques, évaluation de la conformité, surveillance post-marché, déclaration d’incidents, gouvernance des données. Le pays modifie les échéances et les plafonds de sanction, jamais la nature du travail à réaliser.
Ce que « ai regulatory » signifie vraiment en 2026
L’expression « ai regulatory » agrège deux récits dissociés. Le premier, traité dans ce guide, concerne les règles publiques et les engagements internationaux contraignants qui encadrent la conception, la mise sur le marché, le déploiement et la supervision de l’intelligence artificielle. Le second se rapporte à l’IA mise au service de la fonction conformité, parfois désignée comme RegTech. Le sommet des résultats de recherche reflète, à de très rares exceptions près, la première lecture : trackers mondiaux, comparaisons pays par pays, revues juridiques.
L’inventaire est devenu vertigineux. Les contenus de synthèse publics évoquent désormais plus de 900 réglementations actives dans 80 juridictions. Ce chiffre intimide parce qu’il agglomère directives, règlements sectoriels, décrets, circulaires et lignes directrices. Les directions conformité ne vivent pas 900 réglementations comme 900 chantiers distincts. Elles font face à quelques régimes d’ancrage, à une poignée de familles d’obligations récurrentes, et à des standards transversaux qui permettent à un même corpus de contrôles de servir plusieurs autorités à la fois.
C’est le déplacement de regard que ce guide propose. La présentation par pays, choisie par la majorité des pages bien classées, reste utile en référence, mais inefficace comme modèle opératoire. Ce qui suit adopte une lecture d’opérateur : régimes d’ancrage en premier, couche conventionnelle en second, type d’obligation en troisième, rôles juridiques en quatrième, socle opérationnel convergent en cinquième.
Les quatre régimes d’ancrage
Le règlement européen sur l’IA, Règlement 2024/1689
Le règlement européen sur l’IA est entré en vigueur le 1er août 2024 et devient pleinement applicable le 2 août 2026. Les dispositions s’échelonnent par vagues successives. Les pratiques interdites et les obligations de littératie en IA s’appliquent depuis le 2 février 2025. Les règles de gouvernance et les obligations relatives aux modèles d’IA à usage général s’appliquent depuis le 2 août 2025. Le régime des systèmes à haut risque, incluant système de management de la qualité, évaluation de la conformité et surveillance post-marché, sera pleinement exécutoire à compter du 2 août 2026.
L’architecture est fondée sur le risque, avec quatre paliers. Les pratiques interdites couvrent la notation sociale par des autorités publiques, la collecte non ciblée d’images faciales, ou la reconnaissance des émotions dans les milieux scolaire et professionnel, sauf exceptions étroites. Les systèmes à haut risque, listés à l’Annexe III pour des usages comme l’emploi, le scoring de crédit, l’identification biométrique, les infrastructures critiques ou la sécurité publique, doivent respecter des exigences structurées de gouvernance des données, de documentation technique, de supervision humaine, de précision, de robustesse et de cybersécurité. Les systèmes à risque limité, principalement ceux qui interagissent avec des personnes physiques ou génèrent du contenu synthétique, sont soumis à des obligations de transparence. Les systèmes à risque minimal, qui représentent la majeure partie de l’IA utilisée par les entreprises, ne sont assujettis qu’à des codes de conduite volontaires.
Les sanctions plafonnent à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu, pour les pratiques interdites. Les autres manquements descendent à 15 millions d’euros ou 3 %, et la transmission d’informations inexactes à 7,5 millions ou 1 %. La supervision est partagée entre les autorités nationales compétentes et le nouveau Bureau de l’IA institué au sein de la Commission européenne.
États-Unis : édifice fédéral éclaté et lois d’État
Les États-Unis fonctionnent selon une logique différente. Il n’y existe aucune loi fédérale unique sur l’IA. Les régulateurs sectoriels appliquent les textes existants (protection des consommateurs, emploi, finance, santé) aux usages de l’IA, tandis que chaque État adopte des textes ciblés. L’activité législative s’est accélérée en 2025 et 2026, comme l’illustrent le tracker White & Case ou le suivi de la NCSL, qui recensent des dizaines de lois adoptées sur les systèmes de décision automatisée, la transparence des IA génératives, les deepfakes en période électorale et l’usage de l’IA par les agences publiques.
La strate fédérale reste majoritairement exécutive. Les ordres présidentiels successifs structurent les standards d’achat public, l’évaluation des risques par les agences et certaines obligations de divulgation. Les régulateurs indépendants, dont la Federal Trade Commission, l’Equal Employment Opportunity Commission, le Consumer Financial Protection Bureau, la Food and Drug Administration pour les dispositifs médicaux ou la National Highway Traffic Safety Administration pour les véhicules autonomes, appliquent leur boîte à outils existante aux cas d’IA. Le travail conformité aux États-Unis vit, plus que partout ailleurs, dans les manuels opérationnels des régulateurs sectoriels plutôt que dans un texte horizontal unique.
Royaume-Uni : approche pro-innovation sectorielle
Le Royaume-Uni a choisi de ne pas légiférer horizontalement. L’approche pro-innovation britannique confie l’encadrement de l’IA aux régulateurs existants (Information Commissioner’s Office, Competition and Markets Authority, Financial Conduct Authority, Ofcom, etc.) en s’appuyant sur cinq principes transversaux : sécurité, transparence, équité, responsabilité et contestabilité. Le UK AI Safety Institute conduit des évaluations de modèles et publie ses constats.
Une consultation a été ouverte le 21 octobre 2025 sur le UK AI Growth Lab, un programme de bacs à sable réglementaires transéconomiques permettant de tester des produits d’IA sous adaptations réglementaires ciblées, les pilotes concluants alimentant ensuite les réformes pérennes. Le mouvement vers une loi unique semble durablement écarté au profit d’un dispositif itératif, sectoriel et adaptatif.
Chine : règles génératives sous l’égide de la CAC
Le cadre chinois est structuré par la Cyberspace Administration of China (CAC) et déployé par instruments successifs. Les Mesures provisoires sur la gestion des services d’IA générative, en vigueur depuis août 2023, posent les obligations des fournisseurs en matière de légalité des données d’entraînement, d’étiquetage des contenus, de consentement des utilisateurs et d’alignement sur les valeurs sociétales. Les Provisions sur les recommandations algorithmiques (2022) et les Provisions sur la synthèse profonde (2023) ajoutent des règles d’étiquetage et d’enregistrement pour les moteurs de recommandation et les médias synthétiques. Tout contenu généré destiné au marché chinois doit porter un filigrane visible et un marquage en métadonnées. Les fournisseurs doivent inscrire leurs algorithmes au registre de la CAC et soumettre une évaluation de sécurité avant déploiement.
Le régime chinois est le plus prescriptif des quatre sur les obligations de modération des contenus. Il s’impose surtout aux organisations qui placent directement des produits d’IA sur le marché chinois et reste, pour les autres, un point de vigilance contractuel sur la chaîne d’approvisionnement.
La couche conventionnelle : la Convention-cadre du Conseil de l’Europe
Une nouvelle strate s’ajoute désormais aux régimes nationaux. La Convention-cadre du Conseil de l’Europe sur l’intelligence artificielle et les droits de l’homme, la démocratie et l’État de droit (STCE n° 225) est le premier traité international consacré spécifiquement à la gouvernance de l’IA et juridiquement contraignant pour ses parties. Elle engage les signataires à garantir que les activités relatives à l’IA respectent les droits humains, la démocratie et l’État de droit sur l’ensemble du cycle de vie des systèmes.
L’Union européenne a ratifié la Convention le 15 mai 2026, lors de la 135e session du Comité des Ministres à Chișinău, en République de Moldavie. Parmi les autres signataires figurent le Royaume-Uni, les États-Unis, le Canada, le Japon, la Suisse, la Norvège, Israël, l’Ukraine, Andorre, la Géorgie, l’Islande, le Liechtenstein, le Monténégro, Saint-Marin et l’Uruguay. La Convention entre en vigueur le premier jour du mois suivant l’expiration d’un délai de trois mois à compter de la cinquième ratification, dont au moins trois par des États membres du Conseil de l’Europe.
La Convention ne duplique pas le règlement européen. Elle pose un socle conventionnel sur la protection des droits, la non-discrimination, la transparence, la supervision, la responsabilité et les voies de recours, que les parties doivent transposer dans leur droit interne. Pour une organisation présente dans plusieurs juridictions signataires, ce socle réduit le risque de divergence sur les obligations liées aux droits fondamentaux et fixe le seuil de protection humaine à respecter dans tout programme de gouvernance IA.
Le manuel de l’opérateur : les obligations par type
La plupart des comparaisons publiées s’arrêtent à la lecture par pays. C’est précisément là où commence le travail d’opérateur. À travers les quatre régimes d’ancrage et les Principes de l’OCDE sur l’IA (49 adhérents en avril 2026), les mêmes familles d’obligations reviennent avec des variations locales.
Obligations de transparence
Les obligations de divulgation traversent tous les régimes. Sous le règlement européen, les fournisseurs de systèmes interagissant avec des personnes physiques doivent indiquer la nature artificielle de l’interlocuteur, sauf si elle est manifeste. Les déployeurs de systèmes de reconnaissance des émotions ou de catégorisation biométrique doivent en informer les personnes concernées. Les fournisseurs et déployeurs d’IA générative doivent étiqueter tout contenu synthétique ou manipulé, par des moyens techniques permettant la détection. La Chine impose un double marquage, visible et en métadonnées. Les États-Unis ajoutent des règles d’État sur les systèmes de décision automatisée en matière d’emploi ou de relations consommateurs. Le jeu de contrôles est identique : recensement des surfaces IA exposées aux utilisateurs, modèles de divulgation par surface, chaînes de filigrane pour les contenus génératifs, procédure de mise à jour à chaque évolution matérielle du système.
Gestion des risques et évaluation de la conformité
L’article 9 du règlement européen impose un système documenté de gestion des risques pour les systèmes à haut risque, établi, mis en œuvre, documenté et entretenu sur tout le cycle de vie. L’évaluation de la conformité, avec ou sans intervention d’un organisme notifié selon le cas d’usage, conditionne la mise sur le marché. La structure rappelle la réglementation produit : identifier les risques prévisibles, les évaluer, adopter des mesures, tester le risque résiduel, réévaluer après toute modification substantielle. Le NIST AI Risk Management Framework, publié en janvier 2023, et son Profil IA générative (NIST AI 600-1) de juillet 2024 fournissent la grammaire opérationnelle : quatre fonctions (Govern, Map, Measure, Manage) et douze catégories de risques propres à l’IA générative. Une équipe conformité qui adopte le RMF comme bibliothèque de contrôles franchit l’essentiel du chemin vers un système crédible au sens de l’article 9.
Surveillance post-marché et déclaration d’incidents
L’obligation ne s’arrête pas au lancement. L’article 72 du règlement européen impose aux fournisseurs un système de surveillance post-marché proportionné à la nature et aux risques du système, avec collecte de données, analyse et boucles d’action corrective documentées. L’article 73 fait obligation de déclarer les incidents graves aux autorités de surveillance des États membres concernés. Les autres régimes adoptent une approche moins formalisée mais attendent des mécanismes équivalents : le guide britannique demande aux entités régulées de pouvoir démontrer une supervision continue ; les régulateurs sectoriels américains appliquent leur propre dispositif (déclarations FDA d’événements indésirables, signalements opérationnels au régulateur bancaire). Le contrôle opérationnel est partagé : une boucle de retour de la production vers la conception, une grille de gravité des incidents, un calendrier de déclaration cartographié sur les régulateurs en scope.
Gouvernance des données et des modèles
Les jeux d’entraînement, de validation et de test des systèmes à haut risque doivent être pertinents, représentatifs, exempts d’erreurs et complets. L’article 10 du règlement européen fixe des obligations spécifiques de gouvernance des données, dont l’examen et l’atténuation des biais. La Chine exige une origine licite des données d’entraînement. Le droit américain du travail impose une logique de sélection rationnellement liée à la fonction lorsque l’IA est utilisée dans le recrutement. ISO/IEC 42001 traite les mêmes questions dans ses clauses d’évaluation d’impact, de qualité des données et de supervision des fournisseurs. Le point de convergence est simple : un cycle de vie des données documenté, une traçabilité de la source au modèle, un examen périodique des biais, et une diligence raisonnable sur les courtiers de données et fournisseurs de modèles.
Qui doit faire quoi : l’arbre des rôles
Le règlement européen distingue cinq rôles opérationnels : fournisseur, déployeur, importateur, distributeur et fabricant de produit. Les devoirs varient selon le rôle endossé pour un système donné. Une même organisation peut être fournisseur pour un système, déployeur pour un autre, distributeur pour un troisième. Cartographier les rôles par système, et non par entité juridique, constitue le premier travail.
Un fournisseur place un système d’IA sur le marché de l’Union sous son propre nom. Les fournisseurs portent les obligations les plus lourdes pour les systèmes à haut risque : contrôles de conception, système de management de la qualité, documentation technique, évaluation de la conformité, déclaration de conformité, marquage CE, surveillance post-marché, déclaration d’incidents et actions correctives.
Un déployeur utilise un système d’IA sous son autorité, dans le cadre d’une activité économique ou de service public. Ses obligations incluent l’utilisation conforme aux instructions du fournisseur, le maintien d’une supervision humaine, la surveillance des sorties, la conservation des journaux, la réalisation, lorsqu’elle est requise, d’une analyse d’impact sur les droits fondamentaux (article 27), et l’information des personnes faisant l’objet d’une décision automatisée.
Un importateur ou un distributeur assume des obligations de vérification : s’assurer que le fournisseur a satisfait à ses propres obligations avant la mise sur le marché, que la déclaration de conformité est présente, que le marquage CE est apposé et que les instructions d’utilisation sont complètes.
Un fournisseur de modèle d’IA à usage général, régi par les articles 53 et 55, doit publier un résumé suffisamment détaillé du contenu d’entraînement, documenter la carte de modèle, respecter le droit d’auteur européen et, lorsque le modèle présente un risque systémique au sens de l’article 51, conduire des tests adversariaux, déclarer les incidents graves au Bureau de l’IA et assurer une cybersécurité de niveau modèle et infrastructure.
Les couches sectorielles ne disparaissent pas. Une banque qui déploie un système de scoring de crédit cumule les obligations de déployeur du règlement européen et l’ensemble du droit prudentiel et de la protection du consommateur. Un fabricant de dispositif médical intégrant de l’IA cumule les obligations de fournisseur et le règlement européen sur les dispositifs médicaux.
Le modèle opérationnel convergent : ISO/IEC 42001 et NIST AI RMF
Si le manuel ci-dessus semble lourd, c’est par construction. Le rendement vient de la capacité d’un même dispositif à satisfaire plusieurs régulateurs simultanément. Deux standards volontaires rendent cette convergence possible.
ISO/IEC 42001:2023 est le premier référentiel international de système de management de l’IA (AIMS). Il déploie une structure Plan-Do-Check-Act familière des praticiens d’ISO 9001 ou d’ISO 27001, mais adaptée à l’IA : politique IA, engagement de direction, planification (incluant l’évaluation d’impact des systèmes d’IA), ressources, exploitation, évaluation des performances, amélioration continue. Sa version européenne, EN ISO/IEC 42001:2026, entre dans le paysage harmonisé européen, ce qui compte : la conformité à un standard harmonisé crée présomption de conformité à de nombreuses exigences du règlement européen.
Le NIST AI Risk Management Framework joue le rôle de couche de contrôles. Quatre fonctions (Govern, Map, Measure, Manage), déclinées en catégories et sous-catégories, fournissent une bibliothèque granulaire qui s’aligne sur les obligations du règlement européen, sur les règles chinoises de contenu, sur les régulateurs sectoriels américains et sur les Principes de l’OCDE. Le Profil IA générative (NIST AI 600-1) ajoute douze catégories de risques propres à la génération (informations CBRN, confabulation, contenus violents ou dangereux, vie privée, impact environnemental, biais préjudiciables, configuration humain-IA, intégrité informationnelle, sécurité de l’information, propriété intellectuelle, contenus obscènes, chaîne de valeur), chacune renvoyée à des actions concrètes du RMF. NIST prépare également un profil Infrastructures Critiques (note de cadrage en avril 2026) et un profil Interopérabilité des Agents annoncé fin 2026.
Un modèle opératoire viable adosse ISO 42001 comme colonne vertébrale et NIST AI RMF comme bibliothèque de contrôles. Les preuves collectées une fois (registres de lignage des données, évaluations d’impact, journaux de surveillance, déclarations d’incidents, registres de formation) se cartographient ensuite sur la documentation technique de l’Annexe IV du règlement européen, sur le Guide de diligence raisonnable de l’OCDE publié le 19 février 2026, sur les engagements de transparence et de redevabilité de la Convention-cadre du Conseil de l’Europe, et sur les futurs standards européens harmonisés du CEN-CENELEC, dont les projets prEN 18228 et prEN 18282 sur la gestion des risques IA et la terminologie de cybersécurité.
Ce modèle convergent répond aussi au passage à l’échelle. Les 900 réglementations recensées dans 80 juridictions ne sont pas 900 architectures distinctes. Ce sont, pour l’essentiel, des variations sur les mêmes familles d’obligations, avec des échéances, des plafonds et des règles procédurales différents. Un AIMS bien construit transforme chaque nouvelle norme en sujet de paramétrage plutôt qu’en chantier de refonte. En France, la CNIL pour les données personnelles et l’ANSSI pour la cybersécurité fournissent par ailleurs des grilles d’analyse utiles à l’articulation entre RGPD, règlement européen sur l’IA et obligations sectorielles, qu’un AIMS bien tenu permet d’intégrer naturellement.
Questions fréquentes
Qui régule l’IA aux États-Unis ? Aucun régulateur unique. Les agences sectorielles appliquent leur droit existant : Federal Trade Commission pour la protection du consommateur, Equal Employment Opportunity Commission pour l’emploi, Consumer Financial Protection Bureau pour le crédit, Food and Drug Administration pour l’IA médicale, National Highway Traffic Safety Administration pour les véhicules autonomes, et ainsi de suite. Les législateurs d’État adoptent des textes plus étroits sur les systèmes de décision automatisée, les divulgations relatives aux IA génératives ou l’usage public de l’IA. La Maison-Blanche oriente la politique par ordres exécutifs qui s’imposent aux agences fédérales et à la commande publique. Le résultat est stratifié plutôt que centralisé.
L’IA va-t-elle être régulée ? Elle l’est déjà. Le règlement européen, la Convention-cadre du Conseil de l’Europe, le cadre chinois, les dizaines de lois d’État américaines et l’application sectorielle des textes existants forment un environnement réglementaire effectif. La question n’est plus de savoir si l’IA sera régulée, mais comment opérationnaliser les obligations en vigueur.
Qu’est-ce qu’un régulateur de l’IA ? Au sens du règlement européen, les régulateurs sont les autorités nationales compétentes désignées par les États membres pour superviser les systèmes d’IA placés sur leur marché, auxquels s’ajoute le Bureau de l’IA de la Commission européenne, qui coordonne la supervision des modèles à usage général. En France, la CNIL et les régulateurs sectoriels y participent selon leur périmètre. Ailleurs, « régulateur de l’IA » désigne le plus souvent l’agence sectorielle qui applique son arsenal à des cas d’IA. La Convention du Conseil de l’Europe ne crée pas de superviseur unique et renvoie la mise en œuvre aux États parties.
L’IA a-t-elle des règles aujourd’hui ? Oui. Les pratiques interdites et les obligations de littératie IA du règlement européen s’appliquent depuis le 2 février 2025, les obligations relatives aux modèles à usage général depuis le 2 août 2025. Les Mesures provisoires chinoises sur l’IA générative s’appliquent depuis août 2023. Plusieurs lois d’État américaines sur les décisions automatisées en emploi, finance et assurance sont exécutoires. Les règles sectorielles en santé, finance et protection des consommateurs s’appliquent à l’IA en vertu des compétences existantes.
Quelle loi sur l’IA prévoit les sanctions les plus élevées ? Le règlement européen, avec un plafond de 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel, le plus élevé l’emportant, pour la violation des pratiques interdites. Les autres manquements plafonnent à 15 millions ou 3 %. Les lois d’État américaines et l’enforcement sectoriel reposent sur des structures différentes, souvent par violation ou en pourcentage du revenu, mais à des niveaux absolus inférieurs.
Les start-ups doivent-elles se conformer au règlement européen ? Oui, avec une mise en œuvre proportionnée. Le règlement prévoit explicitement des parcours simplifiés pour les PME et start-ups : voies d’évaluation de la conformité allégées, accès dédié aux bacs à sable réglementaires, frais administratifs réduits pour les services d’organismes notifiés. Les obligations matérielles restent dues : pratiques interdites, transparence, conception des systèmes à haut risque le cas échéant, règles sur les modèles à usage général pour les développeurs de modèles fondationnels.
ISO/IEC 42001 remplace-t-il le règlement européen sur l’IA ? Non. ISO/IEC 42001 est un standard de management volontaire. Le règlement européen est un texte juridiquement contraignant. Le standard est surtout utile comme cadre de mise en œuvre qui rend la conformité au règlement, et les obligations équivalentes dans les autres régimes, opérationnellement abordable. La certification peut être un signal de maturité de la gouvernance, jamais un substitut aux obligations légales.
Conclusion : du tracker au modèle opératoire
Le tracker pays a eu son heure. Il a servi tant que la réglementation IA restait clairsemée et inégalement répartie. En 2026, ce n’est plus le bon cadre. Avec plus de 900 règles actives dans 80 juridictions, un traité international contraignant et des standards harmonisés publiés à cadence trimestrielle, aucune équipe conformité n’a la bande passante pour aborder chaque nouveau texte comme un projet inédit.
Le modèle opératoire gagne. S’ancrer sur les quatre régimes qui couvrent la majeure partie de l’activité IA régulée. Traiter les autres pays comme des surcouches. Organiser le travail par type d’obligation. Adosser ISO/IEC 42001 comme colonne vertébrale et NIST AI RMF comme bibliothèque de contrôles. Collecter la preuve une fois, la cartographier plusieurs fois.
AI Sigil fournit précisément cette colonne vertébrale aux secteurs régulés : évaluation de la conformité au règlement européen, système de management ISO/IEC 42001, contrôles NIST AI RMF, dans une plateforme GRC unique conçue pour absorber chaque nouvelle règle sans repenser l’édifice.