Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Trois lois, une échéance : le Chili face au défi de l’IA en 2026

Trois lois, une échéance : le Chili face au défi de l’IA en 2026

par Camilo Silva updated mai 20, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 11 minutes

Points clés à retenir

  1. Échéances convergentes en 2026. Les lois sur la cybersécurité, la protection des données personnelles et l’IA imposent des obligations simultanées aux opérateurs chiliens, sans période de conformité séquentielle.
  2. 732 OIV déjà désignés. L’ANCI a nommé des opérateurs dans l’électricité, les télécoms, la santé et les services numériques, exposés à des amendes directes pouvant atteindre 2,6 milliards CLP.
  3. Règles de confidentialité RGPD-Plus. La Ley 21.719 prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires mondial et un droit explicite à l’explication pour les décisions automatisées, allant au-delà du RGPD.
  4. Les tribunaux appliquent déjà l’IA. Les décisions de la Cour suprême sur les données biométriques montrent que les protections constitutionnelles s’appliquent immédiatement, indépendamment de l’adoption de la loi sur l’IA.

Le 17 décembre 2025, l’Agence nationale chilienne de cybersécurité a publié au Diario Oficial la liste de 732 Opérateurs d’Importance Vitale. Cette liste couvre l’électricité (147 opérateurs), les télécommunications (29), les services numériques (413), la banque et les paiements (34), la santé (114), les entreprises publiques (20) et environ 175 agences gouvernementales. Si votre organisation figure sur cette liste, les obligations de la Ley 21.663 — le cadre fondateur de la cybersécurité au Chili — ne sont plus théoriques.

L’article 5 prévoit deux critères. Le premier détermine si le service dépend de réseaux et de systèmes d’information pour fonctionner. Le second mesure l’impact significatif : nombre d’utilisateurs concernés, existence d’alternatives, caractéristiques de monopole, effets en cascade et rôle stratégique dans l’économie. Si vous remplissez ces deux critères, vous êtes un OIV. Une fois désigné, l’opérateur doit mettre en place un Système de gestion de la sécurité de l’information, nommer un RSSI et signaler les incidents au CSIRT national de l’ANCI dans des délais stricts.

Les sanctions sont administratives — l’ANCI les applique directement, sans intervention judiciaire. Les infractions très graves sont passibles d’amendes allant jusqu’à 40 000 UTM (environ 2,6 milliards CLP). La deuxième vague de désignations, couvrant les Isapres, les transports, l’eau, le gaz et les secteurs connexes, est déjà en cours. La liste s’allongera avant l’échéance finale.

5 points clés à retenir

1. Décembre 2026 n’est pas une échéance flexible.

Trois lois — cybersécurité, protection des données personnelles et IA — s’appliquent aux mêmes opérateurs chiliens la même année. Les fenêtres de conformité se ferment en même temps, et non successivement. La Ley 21.663 est déjà applicable. Les obligations de type RGPD de la Ley 21.719 entrent en vigueur le 1er décembre 2026. Le projet de loi sur l’IA a été adopté par la Chambre en octobre 2025 et attend l’approbation du Sénat. Les organisations qui construisent leur gouvernance de façon linéaire manqueront les trois échéances.

2. 732 organisations déjà désignées.

La première vague de désignation de l’ANCI a identifié des Opérateurs d’Importance Vitale dans sept secteurs — électricité, télécoms, services numériques, banque, santé, entreprises publiques et administration. La deuxième vague, couvrant les Isapres, les transports, l’eau et le gaz, est déjà lancée. Une fois désigné, l’ANCI peut auditer avec un préavis de six mois et infliger des amendes jusqu’à 40 000 UTM — soit environ 2,6 milliards CLP — sans intervention judiciaire.

3. La loi sur la protection des données personnelles a la rigueur du RGPD et va même plus loin.

La Ley 21.719 prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires mondial, impose des DPIA pour les flux d’IA et introduit l’article 8 bis — un droit explicite à l’explication des décisions automatisées, qui va délibérément au-delà de l’article 22 du RGPD. Ce droit exige des preuves à l’exécution — journaux d’audit, logs d’accès, métadonnées de classification — que la plupart des organisations ne produisent pas encore avec un niveau de qualité suffisant.

4. Le projet de loi sur l’IA n’attend pas le Sénat — les tribunaux l’appliquent déjà.

La Cour suprême du Chili a statué contre Worldcoin en janvier 2025, appliquant la protection constitutionnelle aux données biométriques neuf mois avant l’adoption du projet de loi sur l’IA par la Chambre. Les tribunaux ont ordonné la suppression de tous les enregistrements biométriques sous 30 jours et rejeté le certificat de suppression de l’entreprise comme insuffisant. Le délai est plus court que ne le laisse supposer le calendrier législatif.

5. C’est le test d’architecture qui compte.

La plupart des organisations ne peuvent pas prouver la confidentialité, l’intégrité ou la disponibilité des données traitées par leurs systèmes d’IA. Selon le rapport prévisionnel 2026 de Kiteworks, 63 % ne peuvent pas limiter l’usage des agents IA à leur finalité et 61 % disposent de journaux fragmentés et inexploitables. Cette seule capacité manquante — des journaux d’audit de qualité probante — fait échouer les trois cadres à la fois.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Pourquoi une loi sur la cybersécurité est déjà une loi sur l’IA

Le projet de loi sur l’IA n’a pas encore été adopté par le Sénat. Cela n’empêche pas la Ley 21.663 de réglementer dès aujourd’hui les systèmes d’IA. Tout système d’IA intégré à un service critique hérite des obligations de confidentialité, d’intégrité et de disponibilité de l’opérateur au titre de l’article 5. Il n’existe pas d’exception pour l’IA dans la loi, car il n’y en a pas besoin.

Un hôpital de haute complexité utilisant l’IA pour l’imagerie diagnostique est un OIV. Le modèle fait partie du service. S’il se dégrade, est corrompu ou divulgue des informations médicales protégées via une injection de prompt, l’hôpital doit déclarer un incident — quelle que soit la définition finale du « risque élevé » dans la loi sur l’IA. Une banque utilisant l’IA pour la détection de fraude sur ses paiements est soumise à la même logique. Et 413 des 732 OIV sont des fournisseurs de services numériques — ce qui signifie que les fournisseurs cloud et IA de ces organisations sont désormais intégrés au périmètre de cybersécurité via leurs clients.

Le Chili occupe la quatrième place en Amérique latine pour l’exposition aux ransomwares. L’enquête Sophos State of Ransomware in Chile 2025 révèle que 52 % des organisations ont subi un chiffrement de données, que la rançon médiane atteignait 675 000 dollars et que le coût moyen de récupération s’élevait à 1,2 million de dollars. Le CrowdStrike 2026 Global Threat Report fait état d’une hausse de 89 % des attaques menées par des adversaires dopés à l’IA en un an. Les opérateurs chiliens rattrapent le risque, ils ne le devancent pas.

Ley 21.719 : une protection des données à la rigueur RGPD et un article qui va plus loin

La Ley 21.719, promulguée en décembre 2024 et applicable à partir du 1er décembre 2026, remplace le cadre chilien de 1999 par un régime inspiré du RGPD. Elle crée l’Agencia de Protección de Datos Personales — la première autorité dédiée du Chili — et introduit des bases légales de traitement, l’obligation de DPIA pour les traitements à risque, la notification des violations et des règles sur les transferts internationaux.

Deux dispositions sont essentielles pour les opérateurs IA. L’article 8 bis établit un droit explicite à l’explication des décisions automatisées — dépassant volontairement le droit implicite de l’article 22 du RGPD. Pour une décision de crédit ou d’embauche pilotée par l’IA, cela signifie fournir les données d’entrée, les facteurs du modèle, la classification et les règles de décision dans un format compréhensible par la personne concernée. Les journaux d’audit par opération constituent la seule base pratique. La seconde disposition est le droit de s’opposer aux décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs — couvrant le profilage, le scoring de crédit, les algorithmes de recrutement, l’attribution de prestations et la souscription d’assurance.

Les sanctions sont à la hauteur : des violations répétées par des entreprises non petites peuvent entraîner des amendes de 2 % ou 4 % du chiffre d’affaires mondial. Un registre national des sanctions et de la conformité publiera les contrevenants pendant cinq ans. Un rapport de la Commission consultative ministérielle de juillet 2025 a souligné que l’APDP manque de moyens et prend du retard, recommandant une mise en place d’ici juin 2026 — ce qui réduit la fenêtre de conformité par rapport à la date de décembre 2026.

Le projet de loi sur l’IA — et la Cour suprême qui a pris les devants

Le projet de loi 16821-19 reprend explicitement l’architecture par niveaux de risque du règlement européen sur l’IA. Les risques inacceptables — scoring social, manipulation subliminale, identification biométrique non consentie dans l’espace public — sont interdits. Les systèmes à haut risque sont soumis à des exigences strictes de documentation, gouvernance, transparence, supervision humaine et autorisation préalable. Les risques limités imposent la divulgation des interactions IA et l’étiquetage des contenus synthétiques. Les risques évidents inexistants ne sont pas réglementés.

Le projet de loi comporte des dispositions rares dans la législation latino-américaine sur l’IA. L’article 12 exige un consentement exprès pour les deepfakes impliquant des personnes réelles. L’article 15 interdit les deepfakes portant atteinte à la dignité, à l’intégrité démocratique ou à la sécurité publique. L’article 18 impose un délai de 24 heures pour le retrait des deepfakes nuisibles signalés. Le texte a une portée extraterritoriale — les fournisseurs étrangers dont les résultats IA sont utilisés au Chili sont concernés. Les amendes maximales atteignent 20 000 UTM (environ 1,5 million USD).

Les tribunaux chiliens appliquent déjà ces principes sans attendre l’adoption par le Sénat. En janvier 2025, la Cour suprême chilienne a statué contre la collecte par Worldcoin de données biométriques sur un mineur de 17 ans, ordonnant la suppression de tous les enregistrements biométriques sous 30 jours et rejetant le certificat de suppression de l’entreprise comme insuffisant s’il n’est pas vérifié selon une norme formelle telle qu’ISO 27001. Il s’agit de la première décision de ce type contre une plateforme biométrique IA de type Worldcoin par une Cour suprême dans le monde. Les tribunaux sont prêts à appliquer les protections constitutionnelles aux systèmes d’IA en s’appuyant sur les instruments existants, dès aujourd’hui.

Le déficit de gouvernance qui relie les trois lois

Le Chili est en tête de l’AI Index latino-américain avec 73,07 points — devant le Brésil et l’Uruguay. Les administrations utilisent déjà l’IA en production : la SUSESO recourt à des modèles de gradient boosting pour l’instruction des dossiers médicaux et à des arbres de classification pour les audits de santé mentale au travail. Stanford et le CENIA estiment qu’environ 4,7 millions de travailleurs chiliens pourraient accélérer plus de 30 % de leurs tâches grâce à l’IA générative.

Le déploiement précède la gouvernance IA. Le rapport prévisionnel 2026 de Kiteworks quantifie précisément ce déficit : 63 % des organisations ne peuvent pas limiter la finalité des agents IA, 60 % ne peuvent pas désactiver un agent défaillant, 57 % n’ont pas de passerelle centralisée pour les données IA et 7 % n’ont aucun contrôle dédié à l’IA.

Il s’agit de lacunes dans le plan de contrôle, non de défauts de politique. La politique écrite d’usage acceptable de l’IA existe peut-être. L’application en temps réel, non. C’est précisément cette distinction que les auditeurs et inspecteurs de l’ANCI examineront dans la troisième ligne de défense d’un OIV.

Les journaux d’audit sont la capacité clé. 61 % des organisations disposent de logs fragmentés et inexploitables. Sans journaux d’audit de qualité probante, un opérateur chilien ne peut pas prouver la conformité à l’article 5 de la Ley 21.663, satisfaire aux exigences de preuve des DPIA de la Ley 21.719, ni répondre aux obligations de documentation que la loi sur l’IA imposera aux systèmes à haut risque. Une seule capacité manquante fait échouer les trois cadres à la fois.

À quoi ressemble une posture défendable au Chili

Le chemin à travers les trois lois passe par cinq capacités architecturales, toutes réalisables dès aujourd’hui.

Découvrir et classifier. Cartographiez tous les emplacements où résident les données sensibles et tous les points de contact de l’IA. Cela répond au test de dépendance de l’article 5(1), à l’exigence de cartographie des bases légales de la Ley 21.719 et à l’obligation de documentation que les systèmes à haut risque devront respecter selon la loi sur l’IA. Le rapport Thales 2026 montre que seulement 33 % des organisations savent précisément où sont stockées leurs données — la classification des données est donc le préalable à tout autre contrôle.

Authentifier chaque requête. Accès lié à l’identité pour les agents IA, sans clé API partagée. Six failles commerciales d’IA en 18 mois ont été causées par une authentification unique de l’IA, qui héritait alors d’un accès étendu. Des contrôles d’accès liés à l’identité authentifiée — et non au contexte de session hérité — constituent la solution structurelle.

Appliquer une politique par opération. Contrôle d’accès basé sur les attributs, évalué en temps réel à chaque requête, selon la classification des données et le contexte — indépendamment du modèle. C’est ce qui rend l’article 8 bis applicable : si vous ne pouvez pas indiquer à un régulateur quelles données et décisions ont produit un résultat automatisé, vous ne pouvez pas fournir d’explication significative.

Chiffrer avec FIPS 140-3 et gestion des clés. Chiffrement validé FIPS 140-3 au repos et en transit, avec gestion des clés sur le territoire pour répondre aux exigences de souveraineté des trois lois. La décision Worldcoin a souligné que les tribunaux chiliens exigeront des standards de suppression certifiés ISO — et non de simples déclarations.

Journal d’audit infalsifiable. Chaque accès, chaque action, attribution complète, flux vers un SIEM. Le rapport prévisionnel 2026 de Kiteworks montre que la qualité du journal d’audit prédit tous les autres indicateurs de gouvernance IA, avec un avantage de 20 à 32 points sur toutes les dimensions de contrôle.

L’approche Kiteworks : un plan de contrôle unique pour trois lois

La fragmentation qui fait échouer la plupart des programmes de conformité est architecturale. La messagerie électronique, le partage de fichiers, SFTP, MFT, les API REST, les formulaires web et les intégrations IA disposent chacun de leurs propres contrôles d’accès, journaux d’audit et moteurs de règles. Un OIV type utilise de cinq à dix outils d’échange. Chacun génère ses propres preuves. Aucun ne parle le même langage de politique. L’ANCI ne s’intéresse pas à la fragmentation — elle veut savoir si vous pouvez prouver la confidentialité, l’intégrité et la disponibilité sur tous les canaux où circulent les données sensibles.

Le Réseau de données privé de Kiteworks propose un moteur de règles, un journal d’audit et une architecture de sécurité uniques pour la messagerie électronique, le partage de fichiers, SFTP, MFT, les API REST, les formulaires web et les intégrations IA, via le Secure MCP Server et l’AI Data Gateway. Appliance virtuelle durcie. Cloud privé à locataire unique. Modules cryptographiques FIPS 140-3. FedRAMP Moderate Authorized.

Quand l’article 8 bis exige une explication, le journal d’audit la fournit. Quand l’ANCI contrôle une dépendance à l’article 5, les logs d’accès en font la preuve. Quand la loi sur l’IA impose une autorisation préalable à un système à haut risque, la preuve est déjà collectée. Une architecture, trois cadres, aucune fragmentation.

Ce que les opérateurs chiliens doivent faire avant décembre 2026

Première étape : inventoriez votre surface de données IA. Cartographiez chaque système, référentiel et SaaS où résident des données réglementées, ainsi que chaque agent IA qui y accède. Selon le rapport prévisionnel 2026 de Kiteworks, 57 % des organisations n’ont pas de passerelle centralisée pour les données IA. Impossible de prouver la confidentialité, l’intégrité ou la disponibilité de données que vous n’avez pas identifiées.

Deuxième étape : remplacez les clés API partagées par des accès authentifiés, gouvernés par ABAC et journalisés de façon infalsifiable. L’application par opération, indépendante du modèle et du prompt, est la seule solution pérenne. Le rapport Kiteworks 2026 montre que 63 % des organisations ne peuvent pas limiter l’usage des agents IA à leur finalité.

Troisième étape : construisez des journaux d’audit de qualité probante avant que le régulateur ne les exige. Préparez des tableaux de bord de conformité pour les obligations de la Ley 21.663, les droits des personnes concernées de la Ley 21.719 et la classification des risques de la loi sur l’IA. La fenêtre d’audit de six mois de l’ANCI ne suffit pas pour construire les preuves a posteriori.

Quatrième étape : classez dès maintenant votre portefeuille IA selon les niveaux de risque de la loi sur l’IA. Les tribunaux chiliens ont déjà montré leur volonté d’appliquer aujourd’hui les protections constitutionnelles aux systèmes IA. Identifiez les systèmes susceptibles d’être Inacceptables, à Haut Risque, à Risque Limité ou sans Risque Évident — et autorisez à l’avance les systèmes à haut risque avec une documentation capable de résister à un contrôle externe.

Cinquième étape : considérez l’APDP et l’ANCI comme deux autorités parallèles, et non successives. Les régulateurs de la protection des données personnelles et de la cybersécurité partageront l’information. Une violation impliquant des données personnelles issues d’un système IA déclenche des obligations auprès des deux. Les journaux d’audit à source unique sont la seule réponse efficace ; deux flux de preuves échoueront dès le premier incident sérieux.

Les organisations qui attendent l’adoption de la loi sur l’IA pour bâtir leur gouvernance auront plusieurs trimestres de retard sur celles qui l’auront anticipée à partir de la Ley 21.663. Les fenêtres de conformité ne s’ouvrent pas successivement. Elles se ferment en même temps.

Pour en savoir plus sur la gouvernance des données IA, réservez votre démo sans attendre !

Foire aux questions

Oui. Si vous proposez des services d’hébergement, SOC, MSP, SaaS, PaaS, IaaS ou de cybersécurité à un OIV chilien, vos obligations transitent par vos clients. L’ANCI a désigné 413 fournisseurs de services numériques comme OIV lors de la première vague de désignation. Les fournisseurs étrangers sont soumis aux mêmes exigences architecturales que les acteurs locaux — y compris la mise en œuvre d’un ISMS, la nomination d’un RSSI et la déclaration des incidents au CSIRT de l’ANCI. Les obligations de conformité réglementaire ne s’arrêtent pas aux frontières chiliennes pour les prestataires intervenant sur les infrastructures critiques du pays.

L’article 8 bis impose de divulguer la logique, les données d’entrée et les facteurs de décision derrière toute décision automatisée produisant des effets juridiques ou significatifs — allant délibérément au-delà de l’article 22 du RGPD. Pour les décisions de crédit, cela signifie fournir les données d’entrée, les facteurs du modèle et les règles de décision dans un format compréhensible par le client. Les journaux d’audit par opération constituent la seule base pratique — une politique écrite ne suffit pas à remplir cette obligation en temps réel.

Non. La décision Worldcoin de la Cour suprême chilienne en janvier 2025 montre que les tribunaux appliquent déjà les protections constitutionnelles aux systèmes IA en s’appuyant sur les instruments existants — dès aujourd’hui, sans législation spécifique à l’IA. La Ley 21.663 couvre déjà l’IA intégrée aux services essentiels. Le rapport prévisionnel 2026 de Kiteworks montre que 63 % des organisations ne peuvent pas limiter l’usage des agents IA à leur finalité. Combler ce déficit avant l’adoption par le Sénat est la seule posture défendable. Une gouvernance des données IA construite dès maintenant répondra aux trois cadres à mesure de leur entrée en vigueur.

L’aide à la décision clinique constitue une dépendance de l’article 5(1) de la Ley 21.663 et une décision automatisée au sens de la Ley 21.719. Une perte d’intégrité du modèle peut directement impacter la sécurité des patients, déclenchant une déclaration d’incident OIV. Le même système traite des informations médicales protégées soumises à DPIA, à une base légale et à l’obligation de notification des violations. Une gouvernance unifiée répond simultanément aux deux régimes — une gouvernance fragmentée échoue aux deux. L’AI Data Gateway et le Secure MCP Server de Kiteworks fournissent le plan de contrôle unifié requis.

Oui. Le projet de loi 16821-19 s’applique explicitement aux fournisseurs étrangers dont les résultats IA sont utilisés au Chili, y compris l’étiquetage des contenus synthétiques, les dispositions sur les deepfakes et la classification des risques pour les systèmes à haut risque. Selon le rapport prévisionnel 2026 de Kiteworks, seulement 36 % des organisations ont une visibilité sur l’endroit où les données sont traitées, entraînées ou inférées — un déficit fondamental qui compromet la conformité à la souveraineté des données exigée par les trois lois chiliennes. Mettez en place une visibilité sur la localisation des données avant l’entrée en vigueur de la loi.

Ressources complémentaires

  • Article de blog
    Stratégies Zero-Trust pour une protection abordable de la vie privée dans l’IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    Le déficit de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent la preuve de son efficacité.

Foire aux questions

Décembre 2026 marque la convergence de trois lois — cybersécurité (Ley 21.663), protection des données personnelles (Ley 21.719) et projet de loi sur l’IA — créant des échéances de conformité simultanées plutôt que successives. La Ley 21.663 est déjà applicable, tandis que la Ley 21.719 entre en vigueur le 1er décembre 2026, obligeant les organisations à bâtir une gouvernance intégrée pour ne pas manquer les trois cadres.

L’ANCI a désigné 732 OIV dans des secteurs tels que l’électricité, les télécommunications, les services numériques, la banque, la santé, les entreprises publiques et les agences gouvernementales. Les opérateurs désignés doivent mettre en place un Système de gestion de la sécurité de l’information, nommer un RSSI et signaler les incidents au CSIRT national de l’ANCI dans des délais stricts, sous peine d’amendes pouvant aller jusqu’à 40 000 UTM pour les infractions très graves.

L’article 8 bis instaure un droit explicite à l’explication pour les décisions automatisées, allant au-delà de l’article 22 du RGPD, et impose la divulgation des données d’entrée, facteurs du modèle, classification et règles de décision dans un format compréhensible. Cela nécessite des journaux d’audit de qualité probante, car la plupart des organisations ne disposent pas encore des preuves nécessaires à l’exécution.

La Cour suprême du Chili a statué contre Worldcoin en janvier 2025, appliquant la protection constitutionnelle aux données biométriques en ordonnant la suppression de tous les enregistrements sous 30 jours et en rejetant les certificats de suppression jugés insuffisants. Cela montre que les tribunaux appliquent déjà les principes de gouvernance IA à l’aide des instruments existants, réduisant ainsi le délai effectif de conformité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks