Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Guide de référence réglementaire : conformité de l’IA par secteur d’activité

Guide de référence réglementaire : conformité de l’IA par secteur d’activité

par Danielle Barbour updated mars 30, 2026 Conformité réglementaire
temps de lecture: 10 minutes

Il n’existe pas de cadre universel pour la conformité de l’IA. Chaque organisation qui déploie une IA hérite des obligations réglementaires liées aux données qu’elle traite — et ces obligations varient fortement selon le secteur, le type de données et la juridiction. Un sous-traitant de la défense et un hôpital utilisant le même outil d’IA font face à des exigences de conformité totalement différentes. Une société de services financiers et un cabinet d’avocats relèvent encore d’autres cadres. La question de la gouvernance de l’IA n’est pas « qu’exige la conformité de l’IA ? », mais « qu’exige la conformité de l’IA pour mon organisation, mes données et mon cas d’usage ? »

Ce guide de référence cartographie le paysage de la conformité de l’IA dans six secteurs — sous-traitants fédéraux, services financiers, santé, industrie, juridique, et administrations locales et régionales — pour aider les responsables conformité, RSSI, DSI et directeurs juridiques à identifier rapidement les cadres applicables à leurs déploiements, les principaux écarts de gouvernance dans leur secteur, et où trouver des conseils plus approfondis.

Un principe s’applique à tous les secteurs : les régulateurs réglementent les données, pas les modèles. L’obligation de conformité ne dépend pas du fournisseur d’IA choisi ni de ses certifications. Elle dépend des données auxquelles vos agents IA accèdent, de ce qu’ils en font, et de votre capacité à fournir des preuves de gouvernance en cas de contrôle ou d’audit.

Résumé Exécutif

Idée principale : La conformité de l’IA dépend du secteur et implique l’empilement de cadres — les obligations réglementaires liées à vos déploiements d’IA sont déterminées par les données traitées par votre IA, et non par l’outil d’IA lui-même. Ce guide propose une référence intersectorielle des cadres, exigences et écarts de gouvernance les plus importants pour chaque secteur majeur.

Pourquoi c’est important : Le même outil de résumé de documents qui représente un faible risque pour la productivité d’une entreprise générale constitue un risque de conformité HIPAA dans la santé, un risque de conformité CMMC dans la défense, et un risque de confidentialité avocat-client dans le secteur juridique. Identifier les cadres applicables à votre secteur — avant le déploiement, et non après — est la première étape d’un programme de gouvernance de l’IA défendable.

À retenir

  1. Aucun cadre de conformité IA ne s’applique universellement — les cadres qui régissent vos déploiements d’IA dépendent des données auxquelles ils accèdent, du secteur dans lequel vous opérez et des juridictions où vous exercez.
  2. La plupart des déploiements IA en entreprise relèvent de plusieurs cadres qui se chevauchent — un industriel de la défense peut devoir respecter CMMC, ITAR, GxP et NIS 2 pour un seul déploiement d’IA ; une société de services financiers opérant dans l’UE doit se conformer à SR 11-7, GLBA, NYDFS et RGPD.
  3. Les mêmes quatre contrôles techniques répondent aux exigences de preuve dans presque tous les cadres de conformité IA : identité authentifiée de l’agent IA liée à un autorisateur humain ; politique d’accès ABAC au niveau opérationnel ; chiffrement validé FIPS 140-3 ; et journaux d’audit infalsifiables alimentant un SIEM.
  4. Les échecs de conformité dans la gouvernance IA ne résultent presque jamais d’exigences inédites — ils découlent du fait de ne pas étendre aux agents IA les obligations de gouvernance des données déjà établies (contrôles d’accès, journaux d’audit, chiffrement, accès minimal nécessaire) auparavant appliquées aux humains.
  5. La faille de conformité IA la plus dangereuse dans chaque secteur n’est pas technique, mais organisationnelle : déployer une IA sans responsable de gouvernance, sans définition du périmètre d’accès ou sans infrastructure d’audit, expose les données réglementées à des risques de sanction.

Cadre Intersectoriel de Conformité IA

Avant d’examiner les exigences propres à chaque secteur, trois principes structurants s’appliquent à tous les domaines abordés dans ce guide.

Les régulateurs réglementent les données, pas les modèles. HIPAA ne fait pas de distinction entre un accès aux informations médicales protégées par une infirmière ou par un agent IA. CMMC ne distingue pas un collaborateur habilité d’un workflow autonome traitant des CUI. L’obligation de conformité est identique : gouverner la couche données. Les certifications du fournisseur d’IA et les prompts système relèvent de la couche modèle. Les auditeurs de conformité examinent la couche données : qui a accédé à quoi, avec quelle autorisation, quel chiffrement, et quel enregistrement d’audit.

Quatre contrôles techniques couvrent pratiquement tous les cadres. Pour CMMC, HIPAA, GLBA, CJIS, GxP, RGPD, NYDFS Part 500 et tous les autres cadres de ce guide, la gouvernance requise converge vers les mêmes quatre contrôles : identité authentifiée de l’agent IA liée à un autorisateur humain ; politique ABAC au niveau opérationnel limitant l’IA au strict nécessaire ; chiffrement validé FIPS 140-3 niveau 1 en transit et au repos ; et journal d’audit infalsifiable pour chaque interaction, alimentant un SIEM. Mettre en œuvre ces quatre contrôles permet de répondre aux exigences de preuve de presque tous les cadres applicables simultanément.

Les failles de conformité suivent un schéma récurrent. Dans tous les secteurs, les échecs de gouvernance IA suivent le même schéma : déploiement de l’IA sans extension des obligations de gouvernance des données existantes aux nouveaux modes d’accès pilotés par l’IA. Les contrôles d’accès, exigences d’audit, standards de chiffrement et principes d’accès minimal appliqués aux collaborateurs humains sont rarement étendus aux agents IA en même temps — et c’est là que s’accumulent les risques de non-conformité.

Quelles normes de conformité des données sont essentielles ?

Pour en savoir plus :

Référentiel réglementaire par secteur

Tableau 1 : Exigences de conformité IA par secteur — Référence rapide
Secteur Principaux cadres Exigence IA la plus importante Faille de conformité la plus risquée
Sous-traitants fédéraux CMMC 2.0 / NIST 800-171 ; DFARS ; FedRAMP ; ITAR ; FISMA Toutes les 110 pratiques NIST 800-171 s’appliquent à l’IA accédant aux CUI — aucune exemption pour l’IA ; chiffrement FIPS et journaux d’audit au niveau opérationnel requis Exposition ITAR via des outils IA commerciaux faisant transiter des données techniques contrôlées par des infrastructures hors contrôle de personnes américaines
Services financiers SR 11-7 ; GLBA ; NYDFS Part 500 ; PCI DSS ; DORA ; RGPD Validation du risque modèle SR 11-7, surveillance continue et documentation de l’override humain exigées pour toute IA influençant des décisions financières IA accédant à des NPI ou à des données de porteurs de carte sans contrôles d’accès opérationnels, sans journal d’audit suffisant pour un contrôle réglementaire
Santé HIPAA / HITECH ; directives FDA CDS ; 21 CFR Part 11 ; GxP ; EHDS ; RGPD Application du principe HIPAA d’accès minimal au niveau opérationnel pour l’IA accédant à l’ePHI ; BAAs obligatoires pour les fournisseurs IA ; classification FDA CDS requise avant tout déploiement clinique d’IA Outils IA cliniques mal classés comme CDS non-dispositif ; BAAs manquants avec les fournisseurs IA ; absence de journaux d’audit opérationnels pour les interactions IA-PHI
Industrie CMMC 2.0 ; ITAR ; GxP / 21 CFR Part 11 ; TISAX ; NIS 2 ; ISO 27001 Validation GxP CSV requise pour l’IA en environnement pharmaceutique ou dispositifs médicaux réglementés ; évaluation d’exposition ITAR obligatoire pour l’IA traitant des données techniques contrôlées Outils IA dans la supply chain défense accédant à des CUI sans contrôles CMMC ; lacunes de validation GxP pour l’IA en production
Juridique Règles types ABA 1.1, 1.6, 5.3 ; confidentialité avocat-client ; eDiscovery (FRCP) ; accords de protection des données clients ; RGPD ; CCPA L’accès des fournisseurs IA à des contenus confidentiels doit être évalué pour le risque de renonciation ; la méthodologie TAR doit être documentée et défendable ; les accords de protection des données clients exigent l’approbation des outils IA avant utilisation Outils IA commerciaux faisant transiter des communications confidentielles vers des infrastructures externes ; utilisation IA non déclarée violant les accords de protection des données clients
Administrations locales et régionales CJIS ; StateRAMP / FedRAMP ; HIPAA ; FERPA ; lois locales de gouvernance IA ; lois sur les archives publiques / FOIA CJIS impose chiffrement FIPS, MFA et journaux d’audit opérationnels pour tout système IA accédant à des CJI ; autorisation StateRAMP requise avant que l’IA cloud traite des données gouvernementales IA utilisée dans des décisions administratives sans garanties de procédure régulière ; outils IA commerciaux acquis sans vérification d’autorisation StateRAMP ou FedRAMP

Sous-traitants fédéraux : conformité IA selon CMMC, ITAR et FedRAMP

La règle finale CMMC 2.0 s’applique à toute la supply chain du DIB — les fournisseurs de rang 2 et 3 traitant des CUI sont soumis aux 110 pratiques NIST SP 800-171, sans aucune exemption pour l’IA.

Les agents IA accédant à des CUI doivent garantir une identité authentifiée, un accès au moindre privilège, un chiffrement validé FIPS et des journaux d’audit infalsifiables. L’initiative DOJ Civil Cyber-Fraud a créé un risque de sanctions False Claims Act pour les sous-traitants certifiant leur conformité CMMC sans appliquer ces contrôles aux workflows IA.

Indépendamment, la conformité ITAR expose pénalement les industriels de la défense dont les outils IA traitent des données techniques contrôlées via des infrastructures non contrôlées par des personnes américaines — un risque rarement évalué pour les déploiements IA commerciaux.

L’autorisation FedRAMP est obligatoire pour les outils IA hébergés dans le cloud utilisés dans les systèmes fédéraux.

Pour une analyse détaillée, voir : Exigences de conformité IA pour les sous-traitants fédéraux : ce qu’il faut savoir.

Services financiers : conformité IA selon SR 11-7, GLBA, NYDFS et autres

La conformité IA dans les services financiers repose sur plusieurs cadres. SR 11-7 exige validation, surveillance continue et override humain documenté pour tout modèle IA influençant des décisions financières.

L’amendement 2023 de la Safeguards Rule du GLBA impose des exigences précises de chiffrement, de contrôle d’accès et de journalisation pour l’IA accédant à des informations personnelles non publiques. L’amendement 2023 du NYDFS Part 500 impose explicitement l’intégration des systèmes IA dans les programmes de cybersécurité — faisant de cette réglementation la plus opérationnelle aux États-Unis sur la gouvernance IA.

PCI DSS exige une identification unique des agents IA, un accès minimal nécessaire et une journalisation continue dans les environnements de données de porteurs de carte.

Pour les établissements régulés dans l’UE, les exigences DORA en matière de risques ICT et les obligations RGPD sur la prise de décision automatisée s’ajoutent.

Les mêmes quatre contrôles techniques — accès authentifié, politique ABAC, chiffrement FIPS et journaux d’audit infalsifiables — répondent aux exigences de preuve de ces six cadres simultanément.

Pour une analyse détaillée, voir : Exigences de conformité IA pour les sociétés de services financiers : ce qu’il faut savoir.

Santé : conformité IA selon HIPAA, FDA, GxP et EHDS

Les règles HIPAA sur l’accès minimal, les contrôles d’accès, les exigences d’audit et les standards de chiffrement s’appliquent pleinement aux systèmes IA accédant à l’ePHI — les Business Associate Agreements avec les fournisseurs IA sont une obligation légale rarement remplie. 

Les directives FDA sur le clinical decision support imposent une obligation de classification propre à la santé : l’IA doit être évaluée comme CDS non-dispositif ou logiciel dispositif avant tout déploiement clinique, les IA dispositifs nécessitant une revue préalable de la FDA.

Pour les fabricants pharmaceutiques et de dispositifs médicaux, les exigences GxP de validation des systèmes informatisés s’appliquent à l’IA en environnement de production ou de qualité — et la FDA contrôle activement la conformité CSV des systèmes enrichis par l’IA.

Le cadre EHDS de l’UE sur l’utilisation secondaire des données de santé ajoute des exigences de gouvernance pour les organisations opérant dans l’UE, en plus des protections générales du RGPD.

Pour une analyse détaillée, voir : Exigences de conformité IA pour les organisations de santé : ce qu’il faut savoir.

Industrie : conformité IA selon CMMC, ITAR, GxP et TISAX

L’industrie est le secteur où l’empilement de cadres est le plus marqué — un fabricant aéronautique de défense peut devoir respecter simultanément CMMC, ITAR, GxP, TISAX, NIS 2 et ISO 27001 pour un seul déploiement IA.

La faille prioritaire pour l’industrie de défense est l’exposition ITAR via des outils IA commerciaux — la plupart des industriels n’ont pas évalué si l’IA dans les workflows d’ingénierie et de production constitue une exportation non autorisée de données techniques contrôlées, alors que les sanctions pénales sont lourdes.

Pour les industriels réglementés, les exigences GxP de validation des systèmes informatisés s’appliquent à l’IA en production ou en qualité ; les systèmes IA qui adaptent leur comportement en traitant des données de production posent des défis CSV spécifiques que la plupart des organisations n’ont pas anticipés avant les inspections FDA.

Pour une analyse détaillée, voir : Exigences de conformité IA pour les industriels : ce qu’il faut savoir.

Juridique : conformité IA selon les règles ABA, la confidentialité et les accords clients

La conformité IA dans le secteur juridique est particulière, car ses principales obligations découlent des règles de déontologie et des devoirs fiduciaires. Les règles types ABA 1.1, 1.6 et 5.3 imposent des obligations de compétence, de confidentialité et de supervision pour l’usage de l’IA en cabinet — obligations appliquées via les avis d’éthique des barreaux et l’Avis formel ABA 512.

La confidentialité avocat-client peut être levée si des outils IA font transiter des communications confidentielles vers des infrastructures externes accessibles au fournisseur — un risque rarement évalué par les cabinets pour leurs déploiements IA commerciaux. 

Les accords de protection des données clients des grands comptes exigent l’approbation explicite des outils IA avant tout traitement de données clients — une exigence souvent négligée. La méthodologie TAR d’eDiscovery doit être documentée, validée et défendable en cas de contestation ; une revue IA non documentée expose à des sanctions que seule une méthodologie rigoureuse permet d’éviter.

Pour une analyse détaillée, voir : Exigences de conformité IA pour les directions juridiques et cabinets d’avocats : ce qu’il faut savoir.

Administrations locales et régionales : conformité IA selon CJIS, StateRAMP et procédure régulière

La politique de sécurité CJIS du FBI s’applique à tout système IA accédant à des informations de justice pénale — perdre l’accès CJIS pour non-conformité signifie perdre la connexion NCIC, ce qui est catastrophique opérationnellement. L’autorisation StateRAMP ou FedRAMP est obligatoire pour les outils IA cloud traitant des données gouvernementales — une exigence rarement intégrée dans les achats IA des agences.

Les exigences constitutionnelles de procédure régulière s’appliquent quand l’IA influence des décisions impactant les droits des administrés — aides, licences, détention provisoire — et les tribunaux sanctionnent l’absence de transparence et de contrôle humain dans les décisions IA des administrations.

Des lois locales de gouvernance IA dans plus de 20 États ajoutent des obligations d’évaluation d’impact, de transparence et de supervision humaine, indépendamment des cadres fédéraux. Les lois sur les archives publiques peuvent exiger la divulgation des décisions IA, des méthodologies et des jeux de données d’entraînement.

Pour une analyse détaillée, voir : Exigences de conformité IA pour les administrations locales et régionales : ce qu’il faut savoir.

Kiteworks Compliant AI : une architecture unique pour répondre à toutes les exigences sectorielles

Les quatre contrôles techniques qui répondent aux exigences de preuve dans chaque secteur de ce guide sont déjà déployables, dans une seule architecture de gouvernance, avant votre prochain projet IA. 

Kiteworks Compliant AI propose cela au sein du Réseau de données privé :

  • Chaque agent IA authentifié avec une identité liée à un autorisateur humain ;
  • Politique ABAC au niveau opérationnel répondant simultanément aux exigences CMMC de moindre privilège, HIPAA d’accès minimal, GLBA de restriction d’accès, CJIS de nécessité minimale et RGPD de minimisation des données ;
  • Chiffrement validé FIPS 140-3 niveau 1 répondant à CMMC SC.3.177, aux standards HIPAA, aux exigences CJIS et GLBA/NYDFS dans tous les secteurs ;
  • Journal d’audit infalsifiable pour chaque interaction alimentant votre SIEM, répondant aux exigences d’audit CMMC, aux contrôles HIPAA, aux standards d’audit CJIS, aux obligations de surveillance SR 11-7, aux exigences GxP Part 11, aux registres RGPD art. 30, et à la documentation de gouvernance IA locale dans un enregistrement continu unique.

Votre secteur détermine les cadres applicables. Kiteworks vous permet de tous les satisfaire. Contactez-nous pour découvrir comment Kiteworks répond aux exigences de conformité IA de votre secteur.

Foire aux questions

Les cadres applicables dépendent de trois facteurs : les données auxquelles vos systèmes IA accèdent, le secteur dans lequel vous opérez et les juridictions où vous exercez. Les organisations manipulant des CUI dans la défense doivent être conformes à CMMC et NIST 800-171. Celles traitant des informations médicales protégées doivent respecter HIPAA. Celles traitant des données personnelles européennes doivent respecter le RGPD. Les sociétés de services financiers doivent respecter SR 11-7, GLBA, et potentiellement NYDFS Part 500 et PCI DSS. Les cabinets d’avocats doivent respecter les obligations déontologiques des règles types ABA et les exigences de protection de la confidentialité avocat-client. Les agences gouvernementales doivent respecter CJIS, StateRAMP, HIPAA et FERPA selon les données détenues. La plupart des entreprises réglementées sont soumises à plusieurs cadres qui se chevauchent — la bonne approche consiste à inventorier les données traitées par votre IA, puis à les associer aux cadres réglementaires applicables.

Réalisez un inventaire contrôlé des données avant tout déploiement IA. Identifiez chaque catégorie de données réglementées — informations médicales protégées, CUI, informations personnelles identifiables (PII), données de porteurs de carte, communications confidentielles, dossiers éducatifs, CJI — qu’un outil IA proposé peut atteindre. Cet inventaire détermine les cadres applicables, les contrôles techniques requis et les étapes d’évaluation fournisseur à compléter avant le déploiement. Déployer une IA sans cette étape fondamentale crée presque toujours des risques de non-conformité dans des catégories non identifiées ou non traitées par l’organisation. Tous les schémas d’échec de conformité IA de ce guide — violations HIPAA dues à l’absence de BAAs, lacunes CMMC liées à l’accès IA aux CUI sans contrôles adéquats, levée de confidentialité due à des outils IA commerciaux traitant des contenus confidentiels en externe — remontent à un déploiement IA sans inventaire préalable des données.

Non. Les certifications SOC2, ISO 27001 ou sectorielles de votre fournisseur IA attestent de sa propre posture de sécurité — comment il protège son infrastructure, gère les accès internes et réagit aux incidents. Elles ne produisent pas les preuves de conformité que votre organisation doit générer : journaux d’accès opérationnels pour les interactions de votre agent IA avec vos données réglementées, validation du chiffrement pour vos données dans votre environnement, et enregistrements d’audit attribuant les actions de votre IA à vos autorisateurs humains. Votre organisation est le responsable du traitement ou l’entité réglementée ; l’obligation de preuve de conformité vous incombe, pas à votre fournisseur. Aucune certification fournisseur ne transfère cette obligation ni ne répond aux exigences de preuve que vos auditeurs et régulateurs appliqueront à vos déploiements IA.

La gouvernance des données IA est le cadre organisationnel — règles, structures de responsabilité, processus de gestion des risques et mécanismes de supervision — qui définit comment votre organisation déploie et supervise les systèmes IA. La conformité IA est l’exigence de preuve — les contrôles spécifiques et démontrables qui satisfont un régulateur, un auditeur ou une personne concernée pour une obligation légale donnée. Vous avez besoin des deux, mais ils remplissent des rôles distincts. La gouvernance sans conformité produit des documents de politique qui échouent aux audits. La conformité sans gouvernance produit des preuves ponctuelles non durables à mesure que les déploiements IA se multiplient. Les organisations qui maîtrisent le mieux les risques IA bâtissent des programmes de gouvernance générant en continu des preuves de conformité — plutôt que de traiter la conformité comme une évaluation périodique séparée des opérations courantes. Les quatre contrôles techniques décrits dans ce guide — accès authentifié, politique ABAC, chiffrement FIPS et journaux d’audit infalsifiables — constituent l’infrastructure où gouvernance et conformité se rejoignent.

Intégrez la gouvernance dans l’architecture d’accès aux données, et non dans des processus de revue externes. L’échec de gouvernance IA le plus fréquent à grande échelle est le contrôle manuel : une équipe conformité qui vérifie les résultats IA avant qu’ils n’atteignent les workflows réglementés, un processus impossible à faire évoluer avec la rapidité des déploiements IA. À mesure que les déploiements s’accélèrent, les contrôles manuels deviennent des goulets d’étranglement et sont contournés. Une gouvernance intégrée à la couche données — imposée par l’infrastructure avant toute interaction IA avec des données réglementées — s’adapte à la montée en charge car elle ne dépend pas du volume de revues humaines. Chaque nouveau déploiement IA passant par la couche d’accès gouvernée hérite automatiquement des contrôles de conformité. L’investissement dans l’infrastructure de gouvernance des données — accès authentifié, politique opérationnelle, chiffrement, journalisation d’audit — génère des bénéfices croissants à mesure que les déploiements IA augmentent, au lieu de créer une dette de conformité cumulative.

Ressources complémentaires

  • Article de blog
    Stratégies Zero-Trust pour une protection abordable de la vie privée avec l’IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    Écart de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves concrètes.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks