L’essentiel
- Il n’existe aucune loi mondiale unique sur l’IA. Se mettre en conformité suppose de suivre une mosaïque de textes régionaux et nationaux, dont le règlement européen donne le ton.
- Le règlement européen sur l’IA (
EU AI Act) reste le régime de référence : classement par niveau de risque, portée extraterritoriale, amendes pouvant atteindre 35 millions d’euros ou 7 pour cent du chiffre d’affaires mondial. - Les États-Unis n’ont pas de loi fédérale d’ensemble. Ils fonctionnent sur une mosaïque d’États en évolution rapide, avec le Colorado et le Texas en tête.
- Les normes volontaires,
ISO/IEC 42001et leNIST AI RMF, forment la colonne vertébrale qui permet à un seul jeu de contrôles de répondre à plusieurs lois. - La vraie réponse n’est pas un tracker juridique de plus, mais un modèle opérationnel unique : recenser vos systèmes d’IA, les classer, relier les obligations à des contrôles, puis conserver les preuves.

Ce que recouvre la réglementation IA en 2026
Derrière la recherche d’informations sur la réglementation IA se cachent en réalité trois strates de règles qui se superposent désormais. La première strate est la loi contraignante : les textes qui prévoient des sanctions, comme le règlement européen sur l’IA, les lois des États américains, ou les mesures chinoises sur les algorithmes et les contenus. La deuxième strate rassemble les normes certifiables, avec au premier rang la norme ISO/IEC 42001, référentiel international d’un système de management de l’IA qu’un organisme accrédité peut auditer. La troisième strate réunit les cadres volontaires, tels que le NIST AI RMF et les principes de l’OCDE, qui ne sont pas des lois mais façonnent de plus en plus les attentes des régulateurs et des clients. L’ampleur du phénomène explique l’enjeu. Début 2026, plus de 72 pays avaient lancé plus de 1 000 initiatives de politique publique sur l’IA, selon une analyse réglementaire comparative. Deux juridictions seulement, l’Union européenne et la Corée du Sud, ont adopté une loi horizontale d’ensemble. Partout ailleurs, l’IA relève d’un assemblage de règles sectorielles, du droit de la protection des données et de textes plus étroits visant les hypertrucages, le recrutement ou les élections. En France, la CNIL a d’ailleurs précisé sa doctrine sur l’articulation entre le RGPD et les usages de l’IA. Pour une équipe de gouvernance, la conséquence pratique est simple : la réglementation IA ne se lit jamais texte par texte. Un même système d’IA utilisé sur plusieurs marchés peut déclencher à la fois le règlement européen, une loi d’État américaine et un régulateur sectoriel. La suite de ce guide passe donc de la carte des règles à une manière d’opérer qui tient bon face à toutes. Pour les organisations qui partent de zéro, la plateforme AI Sigil transforme ce paysage en un registre unique d’obligations.
La carte mondiale des lois sur l’IA
La régulation de l’IA en 2026 se répartit en quatre grands modèles. Chacun traite la même technologie autrement, si bien que le modèle applicable dépend du lieu où vos systèmes sont conçus, déployés et utilisés.
Union européenne : le règlement sur l’IA
Le règlement européen sur l’IA est la loi la plus complète en vigueur. Il classe les systèmes en quatre niveaux de risque : inacceptable (interdit), élevé (fortement encadré), limité (obligations de transparence) et minimal (quasi libre). Les obligations entrent en application par étapes. Les interdictions et l’obligation de littératie en IA se sont appliquées en premier, les obligations relatives à l’IA à usage général (GPAI) valent depuis le 2 août 2025, et les devoirs applicables aux systèmes à haut risque suivent plus tard. En vertu de l’accord provisoire dit Digital Omnibus du 7 mai 2026, les obligations pour les systèmes autonomes à haut risque de l’annexe III ont été reportées du 2 août 2026 au 2 décembre 2027, l’IA intégrée à des produits suivant en 2027, comme l’indique le calendrier officiel de mise en application. Le texte dépasse les frontières de l’Union : un fournisseur ou un déployeur établi hors de l’UE est couvert dès lors que le résultat produit par le système est utilisé dans l’Union. Les amendes atteignent 35 millions d’euros ou 7 pour cent du chiffre d’affaires mondial pour les usages interdits, et 15 millions d’euros ou 3 pour cent pour les manquements liés au haut risque, selon le résumé de haut niveau.
États-Unis : vide fédéral et mosaïque d’États
Les États-Unis n’ont pas de loi fédérale d’ensemble sur l’IA. Ce sont les États qui légifèrent. En décembre 2025, la Maison-Blanche a publié une action exécutive sur un cadre national de politique de l’IA visant à limiter les obstacles posés par les lois d’État, ce qui ajoute une question de préemption sans supprimer la mosaïque. Tant que ce point n’est pas tranché, les acteurs présents dans plusieurs États doivent se conformer à chacun d’eux.
Asie-Pacifique : modèles d’ensemble et priorité au contenu
La loi-cadre sud-coréenne sur l’IA est entrée en vigueur le 22 janvier 2026, faisant de la Corée du Sud la deuxième juridiction après l’UE dotée d’une loi d’ensemble. La Chine applique un modèle différent, bâti sur des mesures contraignantes : enregistrement des algorithmes auprès de l’administration du cyberespace, étiquetage obligatoire des contenus générés par IA et auto-évaluations de sécurité. Singapour et le Japon privilégient des cadres et des outils de test plutôt que des lois strictes.
Royaume-Uni et régimes fondés sur des principes
Le Royaume-Uni a choisi une approche fondée sur des principes, pilotée par les régulateurs, sans loi dédiée à l’IA, en s’appuyant sur le droit existant, d’après une comparaison 2026 des grands régimes. Plusieurs autres économies suivent ce schéma adaptatif, qui garde des règles souples mais laisse davantage d’interprétation à l’organisation.
Quelles règles s’appliquent à vous
Avant de lire le moindre texte, répondez à deux questions : quel est votre rôle, et où le résultat est-il utilisé. Ces deux axes déterminent l’essentiel de vos obligations. Le rôle est le premier axe. Le règlement européen, et la plupart des lois qui s’en inspirent, distinguent le fournisseur (qui développe ou met sur le marché un système) du déployeur (qui l’utilise sous sa propre autorité). Le fournisseur porte la charge la plus lourde : documentation technique, évaluation de conformité, enregistrement. Le déployeur assume des devoirs plus légers mais bien réels. En vertu de l’article 26, un déployeur doit utiliser un système à haut risque conformément aux instructions du fournisseur, confier la supervision humaine à des personnes compétentes, surveiller le fonctionnement et suspendre l’usage en cas de risque, et conserver les journaux générés automatiquement pendant au moins six mois, comme le rappelle le résumé du règlement. Beaucoup d’organisations sont à la fois déployeurs d’outils tiers et fournisseurs de leurs propres systèmes, cumulant donc les deux séries de devoirs. Le territoire est le second axe. La portée extraterritoriale signifie que la question n’est pas où vous êtes établi, mais où atterrit le résultat du système. Si ce résultat est utilisé dans l’UE, le règlement européen peut s’appliquer. Si une décision touche un résident du Colorado ou du Texas, la loi de cet État peut s’appliquer. Les surcouches sectorielles ajoutent un troisième niveau : la finance, la santé et l’emploi ont leurs propres règles pertinentes pour l’IA, indépendamment de la loi horizontale. Une courte liste de contrôle d’applicabilité : recensez chaque système d’IA, indiquez si vous le fournissez ou le déployez, notez tous les marchés où son résultat est utilisé et signalez tout secteur régulé concerné. Ce simple tableau vous dit lesquelles des règles de ce guide sont actives pour vous, et il devient l’ossature du modèle opérationnel décrit plus loin. Un registre structuré de gestion des risques IA rend l’exercice répétable plutôt que ponctuel.
Lois des États américains : le front le plus mouvant
La question la plus fréquente derrière la réglementation IA est américaine : quels États encadrent l’IA. Le rythme est soutenu. Les États ont adopté 145 textes sur l’IA en 2025, selon le récapitulatif législatif de la NCSL, et 29 États ont légiféré en 2026, plus de 38 États détenant désormais au moins une loi plus étroite, souvent centrée sur les hypertrucages ou les contenus électoraux, d’après un bilan de mi-2026. Deux États montrent à quelle vitesse le sol se dérobe. Le Colorado avait voté la loi SB 24-205, un texte large de protection des consommateurs, effectif au 30 juin 2026 après un report du 1er février 2026. En mai 2026, l’État l’a abrogée et remplacée par la loi SB 26-189, plus étroite, portant sur les technologies de décision automatisée, effective au 1er janvier 2027, comme le suit le cabinet Cooley. Le Texas a emprunté une autre voie avec le Texas Responsible AI Governance Act (TRAIGA, HB 149), signé le 22 juin 2025 et effectif au 1er janvier 2026, qui vise une courte liste d’usages interdits ainsi que des règles pour l’IA des administrations, selon un guide État par État. La leçon pour les équipes de conformité est que les lois d’État sont des cibles mouvantes. Les dates d’entrée en vigueur glissent, les périmètres se resserrent, les définitions changent d’une session à l’autre. Suivre le texte est nécessaire mais insuffisant. Ce qui dure, c’est une couche de contrôles capable d’absorber une nouvelle loi d’État sans tout reconstruire, objet de la section suivante.
Du texte juridique aux contrôles opérationnels
C’est ici que la plupart des trackers juridiques s’arrêtent et qu’une équipe de gouvernance doit commencer. Les lois décrivent des résultats attendus, elles ne s’exécutent pas dans votre organisation. Pour transformer la réglementation IA en pratique quotidienne, adoptez un modèle opérationnel en quatre étapes. Première étape, l’inventaire. On ne gouverne pas ce que l’on ne voit pas. Constituez un registre unique de chaque système d’IA, y compris les outils tiers et ceux adoptés discrètement, afin que l’IA fantôme ne reste pas hors du périmètre. Chaque entrée consigne la finalité, les données utilisées, le responsable et les marchés où le résultat est employé. Le registre AI Sigil est conçu pour devenir cette source de vérité. Deuxième étape, la classification. Sur la base de ce registre, classez chaque système par risque et par rôle. Reliez-le aux niveaux du règlement européen, indiquez si vous êtes fournisseur ou déployeur, et marquez les juridictions concernées. La classification convertit le tableau d’applicabilité de la section précédente en une charge de travail hiérarchisée. Troisième étape, la cartographie des contrôles. C’est le point qui change l’économie de la conformité. La plupart des règles demandent les mêmes comportements de fond : analyse des risques, gouvernance des données, supervision humaine, journalisation, transparence et gestion des incidents. Plutôt que d’écrire un jeu de contrôles par loi, définissez une bibliothèque unique de contrôles et reliez chaque contrôle aux obligations qu’il satisfait dans plusieurs textes. Un même contrôle de supervision humaine peut répondre au règlement européen, à une loi d’État américaine et à une politique interne à la fois. Quatrième étape, la preuve. Les régulateurs et les auditeurs n’acceptent pas les intentions, mais les traces. Chaque contrôle a besoin d’un responsable, d’une fréquence et de preuves conservées : évaluations, validations, journaux et approbations. Lorsque la preuve est capturée au fil du travail, un audit devient une requête et non une course contre la montre. Il s’agit ici de couverture et de complétude des contrôles, non d’un score pondéré unique.
Les normes comme colonne vertébrale : ISO 42001 et NIST AI RMF
La bibliothèque de contrôles de l’étape trois n’a pas à être inventée. Deux normes la fournissent déjà, et c’est leur usage qui permet à un seul programme de répondre à de nombreuses lois. La norme ISO/IEC 42001 est le référentiel international d’un système de management de l’IA. Elle est certifiable : un organisme accrédité peut auditer votre programme et délivrer un certificat reconnu par les clients et les régulateurs. Elle apporte la structure de gouvernance : politique, rôles, processus de risque, contrôles et amélioration continue. Le NIST AI RMF est un cadre américain volontaire organisé autour de quatre fonctions, gouverner, cartographier, mesurer et gérer, plus concret sur la manière de mener le travail de risque. Les deux s’emboîtent : ISO/IEC 42001 fournit le système de management auditable, et le NIST AI RMF la méthode de risque qui l’anime, comme le décrit une comparaison en langage clair des trois régimes. Le bénéfice est la réutilisation d’une juridiction à l’autre. Le NIST publie des tables de correspondance de son cadre vers la recommandation de l’OCDE et vers ISO/IEC 42001, et les deux normes s’alignent étroitement sur les attentes du règlement européen en matière de gestion des risques, de documentation et de supervision. Bâtissez votre bibliothèque de contrôles autour de ces normes et une large part de vos obligations, au titre du règlement européen, des lois d’État américaines et des régimes d’Asie-Pacifique, sera couverte par les mêmes preuves. Vous maintenez un seul programme, non un par loi. AI Sigil livre sa bibliothèque de contrôles déjà reliée à ISO/IEC 42001 et au NIST AI RMF pour cette raison précise.
Construire un modèle opérationnel de conformité IA
Assembler les pièces donne un mode d’emploi qui survit aux nouvelles lois. Commencez par le registre comme source unique de vérité pour chaque système d’IA en usage. Superposez des niveaux de risque afin que les systèmes à haut risque reçoivent le plus d’attention. Séparez vos contrôles en deux groupes : les contrôles fondamentaux qui valent pour toute l’organisation, comme une politique IA ou un programme de littératie, et les contrôles système propres à un cas d’usage, comme le test de biais ou la supervision humaine d’un modèle de recrutement. La gouvernance a besoin d’un point d’ancrage. Confiez à un comité ou à un responsable identifié une autorité réelle pour approuver les usages à haut risque, examiner les incidents et valider les preuves. Fixez une cadence de surveillance afin que les contrôles soient réattestés selon un calendrier, et non vérifiés une fois puis oubliés, car la réglementation IA comme vos propres systèmes évoluent entre deux revues. L’avantage de ce modèle est qu’une nouvelle loi devient une mise à jour, pas un projet. Quand la prochaine loi d’État ou le prochain acte délégué arrive, vous reliez ses exigences à des contrôles déjà en place, comblez les écarts et poursuivez. C’est la différence entre courir après le texte juridique et exploiter un programme de gouvernance. La plateforme AI Sigil est conçue pour faire tourner cette boucle de bout en bout, du registre à la preuve.
Questions fréquentes
Quelles sont les lois qui encadrent l’IA ? Les lois qui encadrent l’IA sont les textes contraignants régissant son développement et son usage, complétés par des normes et des cadres qui façonnent les attentes. Le texte contraignant le plus clair est le règlement européen sur l’IA. S’y ajoutent les lois d’État américaines, les mesures chinoises sur les algorithmes et les contenus, et la loi-cadre sud-coréenne. À côté figurent des normes certifiables comme ISO/IEC 42001 et des cadres volontaires comme le NIST AI RMF, qui ne sont pas des lois mais décident souvent de ce que les régulateurs et les clients acceptent. Quels États américains ont des lois sur l’IA ? Plus de 38 États américains détiennent au moins une loi sur l’IA, et 29 États ont légiféré en 2026. Beaucoup de ces textes visent des sujets étroits comme les hypertrucages ou les contenus électoraux. Un groupe plus restreint dispose de règles larges et transversales, le Colorado et le Texas en étant les exemples les plus connus. Comme les dates d’effet et les périmètres changent souvent, le décompte doit se lire comme un chiffre mouvant plutôt que comme une liste figée. Existe-t-il une loi mondiale sur l’IA ? Non. Il n’existe aucune loi mondiale unique sur l’IA ni de régulateur planétaire. Le point de référence le plus proche est le règlement européen, car sa portée extraterritoriale oblige de nombreuses organisations non européennes à s’y conformer, et parce que d’autres gouvernements reprennent sa structure par niveau de risque. Des normes mondiales comme ISO/IEC 42001 créent aussi une base commune, mais elles sont volontaires et non contraignantes. Qu’est-ce que le règlement européen sur l’IA et à qui s’applique-t-il ? Le règlement européen sur l’IA est la loi d’ensemble de l’Union. Il trie les systèmes par niveau de risque et impose les devoirs les plus lourds aux usages à haut risque. Il s’applique aux fournisseurs et aux déployeurs, y compris hors de l’UE lorsque le résultat du système est utilisé dans l’Union. Les amendes atteignent 35 millions d’euros ou 7 pour cent du chiffre d’affaires mondial pour les pratiques interdites. Quelles sont les nouvelles lois sur l’IA en 2026 ? En 2026, la loi-cadre sud-coréenne est entrée en vigueur, le TRAIGA texan est devenu effectif le 1er janvier, et le Colorado a remplacé sa loi initiale par un texte plus étroit sur la décision automatisée prévu pour 2027. L’UE a par ailleurs reporté une partie du calendrier haut risque à décembre 2027. Dans le même temps, des dizaines d’États américains ont adopté des mesures plus étroites, maintenant le paysage en mouvement constant. Comment se conformer aux lois sur l’IA dans plusieurs pays ? La voie efficace est un modèle opérationnel unique plutôt qu’un projet par loi. Recensez chaque système d’IA, classez-le par risque et par rôle, reliez les obligations à une bibliothèque de contrôles bâtie sur ISO/IEC 42001 et le NIST AI RMF, et conservez la preuve de chaque contrôle. Comme ces normes s’alignent sur la plupart des lois, les mêmes contrôles et les mêmes traces satisfont plusieurs régimes à la fois, si bien qu’une nouvelle loi devient une mise à jour et non une reconstruction.
Conclusion
Le trait marquant de la réglementation IA en 2026 est la fragmentation. Aucun corpus mondial unique, un règlement européen qui mène la marche tout en voyant son propre calendrier bouger, et une mosaïque d’États américains qui change session après session. Vouloir suivre loi par loi est une course perdue d’avance. Les organisations qui restent conformes traitent la mosaïque comme une donnée durable et y répondent par la structure : un registre d’IA unique, une classification claire des risques, une bibliothèque de contrôles reliée à ISO/IEC 42001 et au NIST AI RMF, et des preuves capturées au fil du travail. Ce modèle opérationnel transforme chaque nouveau texte en mise à jour gérable plutôt qu’en urgence. Pour le construire sur une seule plateforme, du registre à la preuve prête pour l’audit, commencez avec AI Sigil.