Aller au contenu
← Retour aux Insights

La réglementation de l'IA dans le monde : où les cadres convergent, où ils divergent, et ce que cela signifie pour les opérateurs mondiaux

Alors que plus de quarante juridictions se pressent de réguler l'intelligence artificielle, les cadres convergent vers un ensemble commun de problèmes tout en divergeant fortement sur les valeurs, les institutions et les interdictions qui les sous-tendent — et savoir faire la différence est désormais la compétence essentielle en matière de conformité pour tout opérateur mondial.

29 juin 2026 · Quantum Nexus Ventures FZCO

En l'espace de quatre ans, le paysage réglementaire mondial de l'IA est passé d'un quasi-vide à une complexité déroutante. Plus de quarante juridictions disposent désormais de règles contraignantes, de projets de loi ou de cadres de gouvernance formels visant spécifiquement l'intelligence artificielle. Un praticien qui cherche à déployer un système d'IA sur plusieurs marchés se heurte à une mosaïque d'obligations qui se recoupent par endroits, se contredisent ailleurs, et emploient le même vocabulaire pour désigner des réalités différentes.

Cet article cartographie ce terrain sur le plan technique. L'objectif n'est pas de passer en revue chaque cadre — cela produirait une liste, non une compréhension. L'objectif est d'identifier là où les cadres s'accordent véritablement au niveau de leur conception, là où ils divergent de façons qui créent de réels conflits de conformité, et à quoi ressemblent les lignes de fracture structurelles pour les cinq années à venir.

Les grands cadres

Avant de comparer, voici les cadres qui méritent de l'être :

EU AI Act (Regulation 2024/1689) : horizontal, fondé sur le risque, obligatoire, comportant des obligations spécifiques pour les systèmes à haut risque au titre de l'Annex III, des pratiques interdites et un régime dédié aux modèles d'IA à usage général (GPAI), assorti d'obligations supplémentaires pour les modèles présumés porteurs d'un risque systémique — présomption retenue lorsque la puissance de calcul cumulée d'entraînement dépasse 10^25 FLOP (Article 51). Il s'applique par phases : les pratiques interdites depuis février 2025, les obligations GPAI depuis août 2025, la plupart des obligations à haut risque (Annex III) à compter du 2 août 2026, et les systèmes à haut risque intégrés dans des produits réglementés (Annex I) à compter du 2 août 2027. Un amendement « Digital Omnibus on AI » — adopté par le Parlement européen et le Conseil en juin 2026 et, à l'heure où nous écrivons, en attente de publication au Journal officiel — reporterait la date de l'Annex III au 2 décembre 2027.Sources : EU AI Act (Reg. 2024/1689) · Article 51 · Digital Omnibus on AI

Chine : un système à plusieurs strates — les Mesures sur la recommandation algorithmique (2022), les Dispositions sur la synthèse profonde (2022), les Mesures sur l'IA générative (2023), une loi générale sur l'IA étant en cours de rédaction. Sectoriel et propre à chaque application, piloté par la Cyberspace Administration of China (CAC), co-émis avec des organismes tels que le MIIT et le ministère de la Sécurité publique (le SAMR a cosigné les règles sur la recommandation algorithmique).

États-Unis : aucune loi fédérale globale (horizontale) sur l'IA au milieu de 2026. L'EO 14110 (2023) a été abrogé en janvier 2025 (EO 14148) et remplacé par l'EO 14179. La gouvernance réside dans la réglementation sectorielle : les lignes directrices de la Réserve fédérale / de l'OCC sur le risque de modèle (SR 11-7), le pouvoir d'application de la FTC, le cadre de la FDA relatif aux dispositifs médicaux logiciels fondés sur l'IA/ML, les règles de la FAA pour l'IA aéronautique, la législation au niveau des États (l'AI Act du Colorado (SB 24-205, depuis restreint par le SB 26-189), le Responsible AI Governance Act du Texas (TRAIGA / HB 149, 2025), la BIPA de l'Illinois). Le cadre volontaire de gestion des risques liés à l'IA du NIST (NIST AI 100-1, 2023), ainsi que la publication distincte sur les biais SP 1270 (2022), constituent la base de référence facultative.Sources : EO 14110 · Texas TRAIGA (HB 149) · Colorado SB 26-189 · NIST AI RMF

Royaume-Uni : une absence délibérée de législation. L'AI Security Institute (créé en 2023 sous le nom d'AI Safety Institute ; rebaptisé en février 2025), des orientations de régulateurs sectoriels (ICO, FCA, CMA, Ofcom, CQC), et l'International AI Safety Report. Une posture pro-innovation devenue politique assumée depuis le livre blanc de 2023.Sources : AI Security Institute

Canada : l'AIDA (partie du Bill C-27) est tombée en désuétude au feuilleton lors de la prorogation du Parlement en janvier 2025 et n'a pas été relancée avant les élections fédérales de 2025 — toute loi fédérale sur l'IA nécessiterait une nouvelle législation ; entre-temps, des règles sectorielles et un code volontaire pour l'IA générative s'appliquent.Sources : Bill C-27 / AIDA (analysis)

Brésil : le projet de loi 2338/2023, approuvé par le Sénat fédéral en décembre 2024 et désormais en examen à la Chambre des députés, adopte une architecture fondée sur le risque inspirée de l'EU AI Act. S'il était adopté, il constituerait le cadre le plus complet sur l'IA en Amérique latine.Sources : Brazil PL 2338/2023

Japon : un AI Promotion Act (2025) à l'approche souple — contraignant en tant que « loi fondamentale » de politique de principe mais dépourvu de sanctions, reposant sur des orientations et une conformité volontaire (« gouvernance agile ») — assorti d'un Basic AI Plan et d'un solide bilan de participation à la normalisation (ISO/IEC JTC 1/SC 42).Sources : Japan AI Promotion Act

Singapour : le Model AI Governance Framework (2019, mis à jour en 2020 ; étendu à l'IA générative en 2024), la boîte à outils de test AI Verify, à caractère volontaire et orientée vers l'industrie. Les orientations FEAT de la MAS pour l'IA du secteur financier.

Corée du Sud : l'AI Basic Act (officiellement la Framework Act on the Development of Artificial Intelligence and Establishment of Trust) — adopté en décembre 2024, promulgué en janvier 2025, en vigueur en janvier 2026 — fondé sur le risque, avec des obligations pour l'« IA à fort impact ».Sources : South Korea AI Basic Act

Vietnam : une loi autonome sur l'IA (Law No. 134/2025/QH15), en vigueur le 1er mars 2026, érigeant la supervision humaine des décisions de l'IA en principe fondamental et imposant une supervision humaine pour les systèmes à haut risque.Sources : Vietnam AI Law

Conseil de l'Europe : la Convention-cadre sur l'intelligence artificielle (CETS 225, 2024) — le premier traité international contraignant sur l'IA, ouvert à l'adhésion d'États non membres.Sources : CoE Framework Convention (CETS 225)

Zones de convergence

1. Stratification fondée sur le risque

La convergence structurelle la plus marquante est l'adoption des approches fondées sur le risque comme principe organisateur. L'EU AI Act, la Convention du Conseil de l'Europe, le projet brésilien, l'AI Basic Act de la Corée du Sud, et même les mesures chinoises, gradent tous les obligations en fonction de l'impact potentiel du système d'IA. Les systèmes à faible risque sont au plus soumis à des exigences de divulgation ; les systèmes à fort impact sont soumis à l'évaluation de la conformité, à la documentation, à la supervision humaine et à la surveillance après commercialisation.

L'implication pratique : toute architecture de conformité conçue pour les paliers de risque de l'EU AI Act sera largement transposable, sur le plan conceptuel, à ces différents cadres. Les paliers ne sont pas identiques — les définitions du « haut risque » divergent sensiblement — mais la logique sous-jacente est partagée.

2. La supervision humaine comme principe non négociable

Tous les grands cadres, y compris les orientations sectorielles américaines, exigent que les décisions d'IA aux conséquences importantes soient soumises à une supervision humaine capable de passer outre le système. L'EU AI Act (Article 14), la loi vietnamienne sur l'IA, les orientations américaines de gestion du risque de modèle (les exigences de validation indépendante du SR 11-7) et la Convention du Conseil de l'Europe convergent tous sur ce point.Sources : Article 14

Les exigences techniques diffèrent, mais l'exigence structurelle est la même : un être humain doit être en mesure d'examiner et d'écarter de manière effective les sorties du système d'IA avant qu'elles ne produisent des conséquences contraignantes. « Effective » est le mot déterminant. Un humain incapable de dépasser le raisonnement du système — qui n'a pas la profondeur d'expertise nécessaire pour évaluer ses sorties de manière critique — satisfait à l'exigence formelle mais échoue à l'exigence fonctionnelle. C'est autant un problème de conception organisationnelle qu'un problème de conformité.

3. Transparence et explicabilité

Tous les grands cadres exigent une forme de transparence à l'égard des personnes concernées et, le cas échéant, des régulateurs. La portée varie : l'EU AI Act exige documentation, journalisation et instructions d'utilisation ; la Federal Trade Commission américaine considère les décisions d'IA inexplicables comme potentiellement trompeuses ; les Mesures chinoises sur l'IA générative exigent la divulgation des contenus générés par IA ; la Convention du Conseil de l'Europe inscrit la transparence parmi ses principes fondamentaux.

La norme technique implicite — selon laquelle les sorties d'un système doivent pouvoir être rattachées à des entrées et à des étapes de raisonnement identifiables — est commune aux différentes juridictions. Le degré de granularité technique exigé, lui, diffère. L'EU AI Act envisage des journaux d'audit permettant de reconstituer les décisions a posteriori. Les orientations américaines sur le risque de modèle exigent une validation indépendante de la logique du modèle. Toutes deux réclament la même chose : la capacité d'expliquer, sous examen, pourquoi le système a produit une sortie donnée.

4. Des interdictions étroites

Une zone de convergence plus étroite mais bien réelle : les systèmes de notation sociale qui évaluent les individus à travers différents contextes à des fins de contrôle sociétal généralisé sont interdits ou fortement restreints à la fois par l'EU AI Act (Article 5) et, par principe, par la Convention du Conseil de l'Europe. La manipulation subliminale opérant en deçà du seuil de la conscience est de même prohibée par la plupart des cadres. L'identification biométrique à distance en temps réel dans les espaces publics est restreinte par l'UE et par les cadres de protection des données de plusieurs juridictions.

La convergence est ici réelle mais limitée : ce qui est interdit dans une juridiction est souvent autorisé, voire imposé, dans une autre (voir : le recours de la Chine à l'infrastructure de reconnaissance faciale à des fins de sécurité publique, que l'EU AI Act interdirait pour des déploiements équivalents dans l'UE).

5. IA à usage général / modèles de fondation

Les obligations GPAI du Chapter V (Articles 51-56) de l'EU AI Act et les Mesures chinoises sur l'IA générative constituent les premiers cadres contraignants à traiter spécifiquement des modèles de fondation, et non seulement de leurs déploiements en aval. Tous deux exigent des évaluations de capacités, des évaluations des risques systémiques pour les modèles les plus puissants, et une transparence sur les données d'entraînement. L'EO 14110 américain (désormais abrogé) se concentrait de même sur les modèles au-dessus d'un seuil de puissance de calcul.

La convergence est conceptuelle : les régulateurs du monde entier se mesurent au fait que le cadre fondé sur le risque, conçu pour des applications spécifiques, s'effondre lorsqu'un même modèle sous-tend des milliers d'applications. La réponse technique — des seuils de puissance de calcul comme approximation de première intention de la capacité, complétés par des évaluations secondaires — a été adoptée par l'UE et figurait dans l'approche américaine avant son abrogation.

Zones de divergence

1. Contraignant vs. volontaire / horizontal vs. sectoriel

L'EU AI Act est horizontal (il s'applique à tous les secteurs), obligatoire, et mis en œuvre par les autorités nationales de surveillance du marché dotées d'un pouvoir de sanction substantiel (jusqu'à €35M or 7% du chiffre d'affaires mondial pour les violations relatives aux pratiques interdites). Le Royaume-Uni n'a pas d'équivalent et a explicitement choisi de ne pas en créer. Les États-Unis n'ont pas de loi fédérale horizontale sur l'IA. Le Japon, Singapour et l'Australie maintiennent des cadres volontaires.Sources : Article 99

Il ne s'agit pas d'une différence procédurale mineure. Elle détermine si la conformité est une obligation juridique ou un choix de réputation, qui en assure l'application, et quel est réellement le coût du non-respect. Un système d'IA mondial déployé dans l'UE est soumis à une évaluation de conformité obligatoire pour certaines applications. Le même système déployé uniquement à Singapour se heurte à une liste de contrôle volontaire.

2. L'axe droits fondamentaux vs. sécurité nationale

L'EU AI Act est bâti sur un socle de droits fondamentaux. Ses catégories à haut risque sont définies par leur potentiel d'atteinte à la santé, à la sécurité et aux droits fondamentaux. Ses interdictions sont formulées en termes de dignité et d'autonomie humaines. La base juridique est la réglementation du marché intérieur, mais le cadre de valeurs est la Charte des droits fondamentaux de l'UE.

Le cadre chinois repose sur un socle de valeurs différent : la stabilité sociale, la sécurité nationale et l'orientation politique correcte des contenus. Les Mesures sur l'IA générative exigent que les contenus générés par IA soient conformes aux « core socialist values » et ne « subvertissent pas le pouvoir de l'État ». Les Dispositions sur la synthèse profonde se concentrent sur le contrôle de la désinformation susceptible de déstabiliser l'ordre public.

Il ne s'agit pas d'approches superficiellement différentes d'un même objectif. Elles traduisent des conceptions véritablement distinctes de la finalité même de la gouvernance de l'IA. Un système conçu pour la conformité aux exigences de l'UE — lesquelles comprennent des interdictions de certaines pratiques de modération de contenu qui restreignent l'expression politique — peut être structurellement incompatible avec les exigences chinoises portant sur cette même modération. Ce n'est pas un problème de documentation ; c'est un problème d'architecture.

3. Extraterritorialité et Brussels Effect

L'EU AI Act s'applique aux systèmes d'IA mis sur le marché de l'UE ou dont les sorties sont utilisées dans l'UE, quel que soit le lieu d'établissement du fournisseur. Cela est explicite à l'Article 2. Un fournisseur établi à Dubaï déployant un système d'IA utilisé par des clients de l'UE est assujetti à l'EU AI Act.

La réglementation américaine a une portée extraterritoriale plus étroite : elle s'applique aux entités réglementées dans des secteurs spécifiques (banques, fabricants de dispositifs médicaux, entreprises en contact avec les consommateurs relevant de la compétence de la FTC) plutôt qu'à la technologie en tant que telle. La Chine dispose de certaines dispositions extraterritoriales dans ses cadres de sécurité des données et de sécurité des réseaux, mais les mesures propres à l'IA sont davantage centrées sur le plan interne.

Le résultat pratique : l'EU AI Act fonctionne comme une norme mondiale de fait pour tout fournisseur incapable de segmenter sa clientèle de l'UE. C'est le Brussels Effect à l'œuvre — le coût de conformité qu'implique la construction d'une architecture distincte réservée à l'UE dépasse celui d'une architecture conforme à l'UE à l'échelle mondiale.

4. Normes techniques et évaluation de la conformité

L'EU AI Act s'appuie sur des normes techniques harmonisées émanant du CEN/CENELEC et de l'ISO/IEC pour démontrer la conformité. L'ISO/IEC 42001 (systèmes de management de l'IA) et les normes connexes relevant de l'ISO/IEC JTC 1/SC 42 en constituent la référence principale. L'évaluation de la conformité par un tiers est obligatoire pour les systèmes à haut risque relevant de certaines catégories de l'Annex III.

Les États-Unis s'appuient sur les cadres du NIST (AI RMF, SP 1270), qui sont volontaires pour la plupart des secteurs. Les méthodologies sont compatibles mais non équivalentes. Une certification ISO 42001 ne satisfait pas automatiquement à l'alignement sur le NIST AI RMF ; cet alignement requiert une démonstration distincte.

Pour les opérateurs mondiaux, cela crée un problème de navigation entre normes. Construire selon l'ISO 42001 est la voie la plus sûre pour la conformité à l'UE. Construire selon le NIST AI RMF satisfait aux exigences des marchés publics fédéraux américains et confère un solide positionnement en matière de réputation. Les cadres sont suffisamment complémentaires pour qu'il soit possible de faire les deux, mais cela exige une mise en correspondance délibérée qui, à ce jour, doit être réalisée manuellement.

5. Interdit vs. imposé : le problème de la biométrie

L'EU AI Act interdit l'identification biométrique à distance en temps réel dans les espaces accessibles au public par les autorités répressives, moyennant des exceptions étroites. En vertu de l'Article 14(5), pour les systèmes d'identification biométrique à distance, aucune mesure ne peut être prise sur le fondement d'une identification sans que celle-ci soit vérifiée et confirmée séparément par au moins deux personnes compétentes — sous réserve d'une exception pour certains usages liés à la répression pénale, à la migration et au contrôle des frontières. La reconnaissance faciale dans les infrastructures publiques est, dans la plupart des applications, interdite.Sources : Article 14(5)

Plusieurs juridictions non seulement autorisent mais imposent précisément cette infrastructure pour des applications spécifiques : contrôle des frontières, surveillance de la sécurité publique, sécurité nationale. Un fournisseur qui vend des systèmes d'IA biométrique se heurte à des obligations véritablement incompatibles selon la juridiction de déploiement. Cela ne peut être résolu par la documentation ou le processus ; cela nécessite une segmentation du produit.

6. Architecture de mise en œuvre

L'EU AI Act crée une structure de mise en œuvre décentralisée : chaque État membre désigne une autorité nationale compétente, tandis que l'Office européen de l'IA assure la surveillance des GPAI et les affaires transfrontalières. Les amendes sont calibrées selon la gravité de la violation.

La Chine assure la mise en œuvre par l'entremise de la CAC (contenus / IA générative), du MIIT (fabrication générale et IA industrielle), du SAMR (produits en contact avec les consommateurs) et de régulateurs sectoriels — une structure multi-agences fragmentée aux recoupements importants. L'application a été rapide et lourde de conséquences ; les amendes de la CAC pour violations des règles sur la recommandation algorithmique ont été substantielles et promptes.

Les États-Unis n'ont pas d'organe principal de mise en œuvre en matière d'IA. L'application par la FTC repose sur le pouvoir conféré par la Section 5 (actes déloyaux ou trompeurs) ; les régulateurs financiers recourent à leur pouvoir de supervision existant ; les procureurs généraux des États sont de plus en plus actifs. La texture de l'application est adversative et réactive plutôt que prospective et systématique.

Lignes de fracture structurelles

Le retard des cadres.

Tout cadre de gouvernance est rétrospectif : il codifie des risques déjà compris, à partir d'une technologie déjà déployée. Le cycle réglementaire d'une législation globale sur l'IA s'étend sur 5 à 7 ans, de la rédaction à l'application. Le cycle technologique des changements de capacités significatifs est de 12 à 18 mois. Cet écart est structurel, non transitoire. Les cadres régiront toujours une version antérieure de la technologie qu'ils sont censés encadrer.

Le déficit de capacité de mise en œuvre.

Comme l'ont observé les praticiens du domaine, l'EU AI Act a été conçu pour l'infrastructure institutionnelle de l'UE. Organismes d'évaluation de la conformité, autorités de surveillance du marché, professions juridiques rompues aux normes techniques — tout cela existe dans les États membres de l'UE. Pour les juridictions qui adoptent des cadres de type européen sans capacité institutionnelle équivalente, la mise en œuvre devient théorique. La loi se lit correctement ; rien ne se produit.

La divergence de vocabulaire.

« Transparence », « responsabilité », « équité », « supervision humaine » apparaissent dans pratiquement tous les cadres. Ces termes n'y signifient pas la même chose. La transparence, dans l'EU AI Act, désigne une documentation technique et des journaux d'audit suffisants pour un examen par un tiers. La transparence, dans les mesures chinoises, désigne le fait de divulguer aux utilisateurs qu'un contenu est généré par IA. La transparence, dans le contexte de la FTC américaine, désigne le fait de ne pas tromper les consommateurs. La conformité aux trois peut exiger trois implémentations différentes d'une chose que l'on nomme « transparence ».

Le problème non résolu de la GPAI.

Le régime GPAI de l'UE et les Mesures chinoises sur l'IA générative sont les seuls cadres contraignants à traiter directement des modèles de fondation. Le reste du monde observe ou attend. Le problème fondamental — qu'un même modèle sous-tende des milliers d'applications, chacune dotée de son propre profil de risque — n'a pas de solution réglementaire nette. Les seuils de puissance de calcul sont une première approximation qui faillira à mesure que l'efficience progressera. Les évaluations de capacités sont difficiles à normaliser. Le problème de gouvernance de la GPAI est véritablement non résolu, et les cadres qui s'y sont essayés ont adopté des approches différentes et partiellement incompatibles.

Implications pour les opérateurs mondiaux

Construire selon l'EU AI Act comme plancher de conformité.

Pour tout opérateur exposé au marché de l'UE, l'EU AI Act est le cadre horizontal le plus exigeant et celui le plus susceptible d'entraîner des conséquences directes en matière d'application. Un système construit selon ses exigences sera en surconformité dans la plupart des autres juridictions.

Segmenter là où les juridictions sont architecturalement incompatibles.

Biométrie dans les espaces publics, modération de contenu pour le discours politique, applications voisines de la notation sociale — cela exige une véritable segmentation du produit, non une adaptation de processus. Aucune architecture unique ne satisfait simultanément aux interdictions de l'UE et aux obligations chinoises.

Investir dans des personnes capables de faire le pont entre le technique et le juridique.

Les cadres convergent sur ce point, même s'ils l'expriment différemment : la gouvernance n'est pas un exercice de documentation. Un système dont la piste d'audit ne peut être reconstituée par quelqu'un qui comprend à la fois son fonctionnement technique et son contexte réglementaire n'est pas gouverné, il est archivé. La rareté ne tient pas aux cadres ; elle tient aux personnes capables de naviguer dans les deux.

Traiter les obligations GPAI comme l'avant-garde, non comme l'exception.

Les dispositions propres à la GPAI de l'EU AI Act et les Mesures chinoises sur l'IA générative sont les premières tentatives de régir l'IA au niveau du modèle plutôt qu'au niveau de l'application. Cette approche se répandra. Les organisations qui utilisent des modèles de fondation — y compris via API — devraient comprendre ces obligations dès maintenant, car l'architecture de conformité au niveau de l'application qu'elles construisent pourrait devoir accommoder des exigences au niveau du modèle qui n'existent pas encore dans leur juridiction.

Suivre les normes, et pas seulement les lois.

L'ISO/IEC 42001, le NIST AI RMF et les normes techniques en cours d'élaboration au sein du CEN/CENELEC détermineront de plus en plus ce que « conformité » signifie sur le plan opérationnel. Les lois posent des exigences en termes généraux ; les normes précisent à quoi ressemble techniquement le fait de satisfaire à ces exigences. Le paysage normatif évolue plus vite que le paysage législatif et mérite, de la part des équipes de gouvernance, une attention plus grande que celle qu'il reçoit habituellement.

Le paysage réglementaire mondial de l'IA ne converge pas vers un cadre unique. Il converge vers un ensemble de problèmes communs — stratification du risque, supervision humaine, explicabilité, gouvernance des modèles de fondation — tout en divergeant sur les valeurs que ces cadres sont conçus pour protéger, sur les architectures institutionnelles qui les mettent en œuvre, et sur les interdictions et obligations spécifiques qu'ils imposent. Pour les opérateurs mondiaux, la compétence pratique n'est pas de savoir quel cadre s'applique. C'est de savoir quand les cadres sont véritablement compatibles et quand ils ne le sont pas, et de construire des systèmes capables de faire la différence.

Ceci est un article d'opinion et de leadership éclairé. Il ne constitue pas un conseil juridique ou financier.