Réglementation de l’IA : Fonctionnement, Exigences et Comment Garder une Longueur d’Avance
La réglementation de l’IA n’est pas une loi unique que votre service juridique peut examiner une fois pour toutes et classer. C’est un environnement réglementaire multi-juridictionnel et multi-référentiel qui évolue plus vite que la plupart des programmes de gouvernance d’entreprise — et qui impose des obligations concrètes et auditables aux organisations qui conçoivent, déploient ou utilisent des systèmes d’IA.
Comprendre la structure de la réglementation de l’IA — et pas seulement ce que disent les textes de loi à un instant T — permet aux organisations de bâtir des programmes de conformité qui restent défendables à mesure que le paysage évolue. Ce guide présente la structure de la réglementation mondiale de l’IA, les exigences communes à l’ensemble des référentiels, ainsi que l’état actuel des évolutions les plus significatives. Les dates précises et les montants des sanctions seront mis à jour au fil des évolutions réglementaires. Les mécanismes sous-jacents, eux, ne changeront pas.
Dernière mise à jour : juillet 2026. Consultez la section État des lieux actuel pour les évolutions réglementaires les plus récentes.
Synthèse
Idée clé : la réglementation de l’IA repose sur trois couches qui se superposent — le droit fondamental de la protection des données, la législation émergente spécifique à l’IA, et les référentiels sectoriels — chacune s’appliquant à tout système d’IA qui traite des données réglementées. L’obligation de conformité ne dépend pas de l’outil d’IA que vous utilisez. Elle dépend des données auxquelles vos systèmes d’IA accèdent, et de votre capacité à prouver votre gouvernance le jour où un régulateur vous le demandera.
Pourquoi c’est important : plus de 25 pays ont proposé ou adopté une législation spécifique à l’IA depuis 2023. Selon Gartner, plus de 50 % des grandes entreprises devront se soumettre à des audits de conformité IA obligatoires d’ici 2026. Les sanctions ne relèvent plus de la théorie — procureurs généraux d’État, autorités de protection des données et régulateurs fédéraux poursuivent déjà activement les manquements liés à l’IA. Les organisations qui abordent la conformité IA comme un sprint dicté par des échéances se retrouveront perpétuellement en retard sur un calendrier réglementaire qu’elles ne maîtrisent pas.
Points clés à retenir
1. Les régulateurs encadrent les données, pas les modèles.
L’élément le plus important à comprendre sur la réglementation de l’IA est aussi celui que l’on néglige le plus souvent : aucun référentiel de conformité majeur ne prévoit d’exemption pour l’IA. HIPAA ne fait aucune différence entre des informations de santé protégées consultées par un analyste humain ou par un agent d’IA. Le CMMC ne distingue pas un employé habilité d’un workflow autonome accédant à des informations non classifiées contrôlées (CUI). L’obligation réglementaire est identique — et la solution l’est tout autant : encadrez les données auxquelles vos systèmes d’IA accèdent, pas seulement le modèle qui y accède.
2. La réglementation de l’IA repose sur trois couches superposées.
La première couche est fondamentale : le RGPD, HIPAA, le CCPA et les référentiels de protection des données similaires, antérieurs à l’IA mais pleinement applicables à l’accès aux données par l’IA. La deuxième couche est spécifique à l’IA : l’AI Act européen, les lois des États américains sur l’IA et les recommandations sectorielles qui imposent des obligations supplémentaires. La troisième couche est sectorielle : le CMMC pour les prestataires de la défense, la Part 500 du NYDFS pour les services financiers, et les référentiels équivalents dans d’autres secteurs. Les organisations évoluant dans des secteurs réglementés sont soumises simultanément à ces trois couches.
3. L’écart de conformité est mesurable — et il se creuse.
Le rapport Kiteworks 2026 Data Security and Compliance Risk Forecast révèle que 78 % des organisations sont incapables de valider les données avant qu’elles n’entrent dans les pipelines d’entraînement de l’IA, que 77 % ne peuvent pas retracer la provenance de ces données, et que 33 % ne disposent d’aucun journal d’audit. Il ne s’agit pas de fonctionnalités accessoires : ce sont les exigences fondamentales imposées par la réglementation de l’IA — et l’écart entre ce qu’attendent les régulateurs et ce que la plupart des organisations sont capables de démontrer constitue précisément la brèche que les régulateurs s’apprêtent déjà à exploiter.
4. Le « shadow AI » représente le plus grand risque de conformité non maîtrisé.
Plus de 80 % des collaborateurs utilisent des outils d’IA non approuvés. Seulement 37 % des organisations disposent de politiques de gouvernance de l’IA. Cet écart — 80 % d’adoption contre 37 % de couverture en matière de gouvernance — constitue précisément la zone d’exposition réglementaire. Les collaborateurs qui copient du code source, des documents juridiques ou des données de fusion-acquisition dans des outils d’IA non approuvés créent des voies de fuite de données qu’aucun référentiel de conformité n’excuse, que l’usage ait été intentionnel ou non.
5. Les contrôles au niveau du modèle ne résistent pas à un audit.
Les prompts système, les filtres de sécurité et les certifications des éditeurs d’IA agissent au niveau du modèle. Or, les auditeurs de conformité évaluent la couche des données — et les deux ne se confondent pas. Un prompt système peut être contourné par injection de prompt, écrasé par une mise à jour du modèle, ou détourné par une manipulation indirecte. Aucun régulateur n’acceptera « nous avions demandé à notre modèle de ne pas le faire » comme preuve d’un contrôle d’accès. Les contrôles réellement défendables sont techniques : accès authentifié, politiques de contrôle d’accès basées sur les attributs (ABAC), chiffrement validé FIPS, et journaux d’audit infalsifiables.
Comment la réglementation de l’IA est structurée
Le paysage réglementaire mondial de l’IA n’est pas un référentiel unique — c’est un empilement croissant d’obligations que les organisations doivent satisfaire simultanément. Comprendre cette structure est essentiel, car si les textes de loi évoluent sans cesse, la structure, elle, reste stable.
Couche 1 : le droit fondamental de la protection des données. Le RGPD, HIPAA, le CCPA et leurs équivalents ont été rédigés avant l’émergence de l’IA générative, mais ils s’appliquent pleinement aux systèmes d’IA. Tout agent d’IA qui accède à des données personnelles est soumis aux exigences du RGPD en matière de base légale, de minimisation des données et de droits des personnes concernées. Tout système d’IA qui accède à des informations de santé protégées est soumis aux contrôles d’accès, aux exigences de journalisation et aux règles de notification des violations prévues par HIPAA. Ces référentiels n’ont pas besoin d’être mis à jour pour s’appliquer à l’IA : ils le font déjà.
Couche 2 : la législation spécifique à l’IA. L’AI Act européen, les lois des États américains sur l’IA et le NIST AI Risk Management Framework imposent des obligations qui vont au-delà de la protection des données : évaluations des risques pour les systèmes d’IA à haut risque, exigences de transparence pour la prise de décision automatisée, mécanismes de supervision humaine, documentation de la provenance des données d’entraînement, et mesures techniques de prévention des discriminations algorithmiques. C’est sur cette couche que se concentre l’essentiel de l’activité réglementaire récente, et c’est là que se situent les écarts de conformité les plus importants aujourd’hui.
Couche 3 : les référentiels sectoriels. Les prestataires de la défense qui utilisent l’IA pour traiter des CUI doivent satisfaire aux exigences du CMMC en matière d’accès aux données par l’IA. Les acteurs des services financiers sont soumis à la Part 500 du NYDFS, qui intègre explicitement les systèmes d’IA dans les programmes de cybersécurité. Les organisations de santé doivent appliquer les mesures de protection techniques de HIPAA à l’accès de l’IA aux informations de santé protégées — y compris les exigences de conservation des journaux d’audit et de chiffrement, qui s’appliquent aussi bien aux accès humains qu’aux accès par l’IA. Ces couches sectorielles s’ajoutent aux deux premières, elles ne s’y substituent pas.
Pour la plupart des organisations évoluant dans des secteurs réglementés, la conformité ne se résume pas à un seul référentiel. C’est une question de gestion de l’empilement réglementaire : comment satisfaire simultanément ces trois couches, avec des preuves qui répondent au niveau d’exigence propre à chaque régulateur ?
Les quatre exigences techniques que la réglementation de l’IA impose systématiquement
Malgré la diversité des juridictions et le rythme des évolutions, la plupart des référentiels réglementaires de l’IA convergent vers quatre exigences techniques. Les organisations qui mettent en œuvre ces contrôles satisfont simultanément le niveau de preuve exigé par plusieurs référentiels — plutôt que de bâtir un programme de conformité distinct pour chacun d’eux.
Un accès aux données authentifié et fondé sur le moindre privilège. Les agents d’IA et les workflows automatisés ne doivent accéder qu’aux données pour lesquelles ils sont autorisés, cette autorisation devant être vérifiée au moment même de l’accès — et non présumée sur la base de la localisation réseau ou d’identifiants statiques. Les politiques de contrôle d’accès basées sur les attributs (ABAC), qui appliquent le principe du besoin d’en connaître au niveau des données, constituent le mécanisme que les régulateurs peuvent auditer. Les contrôles fondés sur les rôles ou sur le périmètre réseau ne suffisent plus dès lors que les agents d’IA peuvent franchir des frontières système inaccessibles aux utilisateurs humains.
Un chiffrement validé FIPS. Les données consultées, traitées ou stockées par les systèmes d’IA doivent être chiffrées au repos et en transit à l’aide de modules cryptographiques conformes aux normes fédérales de validation. La norme actuelle est FIPS 140-3. Les données d’entraînement de l’IA, les données d’entrée et de sortie de l’inférence, ainsi que tout état intermédiaire contenant des données réglementées, entrent tous dans le champ de cette exigence au titre du CMMC, de FedRAMP et des référentiels associés.
Des journaux d’audit infalsifiables. Chaque interaction impliquant l’IA et des données — quelles données ont été consultées, par quel agent ou workflow d’IA, sous quelle autorisation, à quel moment, et avec quel résultat — doit être journalisée dans un format ne pouvant être modifié a posteriori. Ce sont ces journaux que les régulateurs examinent lorsqu’ils demandent une preuve de gouvernance. Des journaux fragmentés entre plusieurs systèmes, des journaux modifiables, ou des journaux qui ne capturent pas les événements d’accès spécifiques à l’IA constituent autant d’échecs d’audit qui ne demandent qu’à être découverts.
La provenance et la gouvernance des données d’entraînement. Les réglementations spécifiques à l’IA exigent de plus en plus que les organisations documentent l’origine de leurs données d’entraînement, la validité des licences et des consentements associés, la présence éventuelle de données personnelles, et les modalités de traitement appliquées. Le rapport Kiteworks 2026 révèle que 77 % des organisations sont incapables de retracer l’origine de leurs données d’entraînement — ce qui en fait l’écart de conformité le plus répandu dans le paysage réglementaire actuel de l’IA.
Panorama réglementaire mondial
La réglementation de l’IA est mondiale, et les organisations opérant dans plusieurs juridictions font face à des obligations qui se chevauchent, entrent parfois en contradiction, et évoluent à des rythmes différents. Trois régions concentrent l’essentiel de l’activité réglementaire significative.
Union européenne. L’AI Act européen constitue le référentiel réglementaire spécifique à l’IA le plus complet actuellement en vigueur dans le monde. Il classe les systèmes d’IA par niveau de risque et impose des obligations proportionnées — allant d’exigences minimales pour les applications à faible risque, jusqu’à une documentation exhaustive, une évaluation de conformité et des exigences de supervision humaine pour les systèmes à haut risque. Le régime de sanctions est conséquent : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel pour les manquements les plus graves, dépassant ainsi le plafond prévu par le RGPD. L’AI Act s’applique en complément du RGPD, et non à sa place — les organisations qui traitent des données personnelles via des systèmes d’IA sont donc soumises simultanément aux deux régimes de sanctions.
États-Unis. Les États-Unis ne disposent pas de loi fédérale sur l’IA, mais d’un patchwork de législations étatiques et de recommandations sectorielles fédérales qui s’étoffe rapidement. Plus de 25 États ont proposé ou adopté une législation relative à l’IA. La Californie et le Colorado disposent, à ce jour, des référentiels les plus complets. Au niveau fédéral, les régulateurs sectoriels — la SEC, le NYDFS et les autorités bancaires fédérales — ont intégré des exigences de gouvernance de l’IA à leurs référentiels de cybersécurité existants, sans attendre d’intervention du Congrès. Dans les faits, la plupart des grandes entreprises américaines sont déjà soumises à plusieurs couches de réglementation applicables à l’IA.
À l’échelle mondiale. Des lois de protection des données sont désormais en vigueur dans plus de 144 pays. L’Inde, le Vietnam, la Corée du Sud et la Malaisie ont tous adopté ou renforcé des référentiels complets de protection des données en 2025-2026. Pour les organisations multinationales, la réglementation de l’IA n’est pas un enjeu de conformité régional : c’est une exigence opérationnelle mondiale. Le fil conducteur reste le même d’une juridiction à l’autre : encadrer les données auxquelles vos systèmes d’IA accèdent, documenter leur usage, et être en mesure d’en apporter la preuve.
État des lieux : ce qui a changé et ce qui reste en suspens
Cette section est mise à jour chaque trimestre. Dernière mise à jour : juillet 2026.
AI Act européen — l’échéance de l’Annexe III repoussée au 2 décembre 2027. Le Parlement européen a approuvé le 16 juin 2026 des amendements repoussant l’échéance de mise en conformité des systèmes d’IA autonomes à haut risque relevant de l’Annexe III, du 2 août 2026 au 2 décembre 2027. Sont concernées les huit catégories à haut risque explicitement énumérées dans l’Annexe III : identification biométrique, gestion des infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration, et administration de la justice. Ce report offre un délai de mise en œuvre supplémentaire, mais ne réduit en rien les exigences — Morgan Lewis et d’autres analystes juridiques ont été clairs : les régulateurs ont accordé plus de temps pour bien faire les choses, non une tolérance envers un report de la mise en conformité. Une disposition distincte interdisant les applications d’IA générant des images intimes non consenties est entrée en vigueur le 2 décembre 2026 — cette échéance, elle, n’a pas bougé.
Colorado AI Act — en vigueur depuis le 30 juin 2026. La loi sur l’IA du Colorado est entrée en vigueur et impose aux organisations déployant des systèmes d’IA à haut risque de réaliser des évaluations de risque documentées, de mettre en place des garde-fous contre la discrimination algorithmique, et d’assurer une surveillance continue. La notion de « haut risque » y couvre les décisions à conséquences significatives dans les domaines de l’éducation, de l’emploi, des services financiers, de la santé, du logement, de l’assurance et des services juridiques — une définition plus large que ce qu’anticipaient de nombreuses équipes conformité.
Réglementation californienne sur les ADMT — une application progressive. La réglementation californienne sur les technologies de décision automatisée (ADMT) est entrée en vigueur le 1er janvier 2026, avec une application immédiate des exigences d’évaluation des risques. Les dispositions complètes — notamment les notifications obligatoires préalables à l’usage, les mécanismes de retrait pour les consommateurs et les exigences détaillées de transparence — entreront en application à compter du 1er janvier 2027. Le référentiel californien devient de facto une norme nationale, à mesure que les organisations l’adoptent comme pratique de référence pour l’ensemble de leurs activités aux États-Unis.
Législations étatiques américaines — un volume qui s’accélère. Le premier semestre 2026 a produit davantage de lois étatiques sur l’IA que ce que la plupart des observateurs anticipaient pour l’année entière. L’État de Washington a adopté cinq textes relatifs à l’IA en mars, portant notamment sur la transparence des contenus, la sécurité des chatbots et l’usage de l’IA dans l’assurance santé. L’Oregon, l’Utah, la Virginie, le Vermont et l’Arizona ont tous adopté des textes similaires durant la même période. Ces textes se regroupent autour de cinq thématiques : la transparence des données d’entraînement, la divulgation en matière de prise de décision automatisée, les métadonnées de provenance des contenus générés par IA, les exigences de supervision humaine, et l’usage de l’IA dans les décisions d’assurance santé.
Posture des régulateurs — une intensification continue. Une coalition de procureurs généraux de 42 États poursuit activement des actions coercitives liées à l’IA. La Civil Cyber Fraud Initiative du ministère de la Défense américain (DoD) a rendu concrète l’application du False Claims Act aux fausses déclarations en matière de cybersécurité — y compris celles portant sur l’IA. Les assureurs cyber introduisent désormais des avenants de sécurité spécifiques à l’IA, conditionnant la couverture à des pratiques documentées de gestion des risques liés à l’IA. La question n’est plus de savoir si des sanctions surviendront. Elle est de savoir si votre organisation sera en mesure de produire les preuves que les régulateurs exigeront.
À quoi ressemble un programme de conformité IA réellement défendable
Les programmes de conformité construits autour d’échéances réglementaires précises échouent dès que ces échéances sont repoussées ou que de nouvelles exigences apparaissent. Les programmes construits autour des contrôles techniques fondamentaux que les régulateurs exigent systématiquement, eux, restent défendables quelle que soit la loi spécifiquement appliquée.
Le point de départ consiste à établir un inventaire de l’IA : chaque agent d’IA, copilote et workflow automatisé accédant aux données de l’entreprise doit être répertorié, avec son périmètre d’accès aux données, son modèle d’autorisation, et les référentiels réglementaires applicables aux données qu’il traite. La plupart des organisations découvrent, au cours de cet exercice, que leur empreinte réelle en matière d’IA est nettement plus vaste que ce que décrit leur stratégie IA officielle — les outils de shadow AI utilisés par les collaborateurs en représentant généralement la majeure partie.
L’étape suivante consiste à appliquer les quatre contrôles techniques à chaque voie d’accès aux données par l’IA : accès authentifié fondé sur le moindre privilège, chiffrement validé FIPS, journalisation d’audit infalsifiable, et documentation de la provenance des données d’entraînement. Ces contrôles ne changent pas lorsque de nouvelles lois sont adoptées — ils satisfont le niveau de preuve exigé par ces nouvelles lois, en s’appuyant sur une infrastructure que vous avez déjà construite.
Le travail continu consiste à surveiller et documenter : supervision permanente des schémas d’accès aux données par l’IA, détection des anomalies pour tout accès s’écartant du périmètre de politique défini, et constitution d’un dossier de conformité pouvant être produit dès qu’un régulateur, un auditeur ou un évaluateur le demande. Les organisations qui traversent le mieux un contrôle réglementaire sur l’IA ne sont pas celles qui ont investi le plus dans des outils de gouvernance IA — ce sont celles capables de répondre à un « montrez-moi » avec des preuves concrètes, plutôt qu’avec de simples documents de politique.
Comment Kiteworks accompagne la conformité réglementaire en matière d’IA
Kiteworks aborde la conformité réglementaire de l’IA au niveau de la couche des données — en encadrant les données que les systèmes d’IA peuvent consulter, utiliser et échanger, plutôt qu’en tentant de piloter directement le comportement des modèles d’IA. C’est précisément cette couche que les réglementations auditent en pratique.
La Kiteworks AI Data Gateway crée une couche de gouvernance centralisée entre les agents d’IA et les données sensibles auxquelles ils accèdent. Chaque interaction impliquant l’IA est authentifiée selon des contrôles d’accès basés sur les attributs, chiffrée à l’aide d’une cryptographie validée FIPS 140-3, et journalisée dans un journal d’audit infalsifiable. Le Secure MCP Server étend cette gouvernance aux workflows des agents d’IA, garantissant que les systèmes d’IA opérant via le Model Context Protocol n’accèdent qu’aux données autorisées, dans le respect des politiques appliquées — chaque interaction étant consignée dans le même journal d’audit unifié qui couvre également les e-mails, le partage de fichiers, le MFT et le SFTP.
Pour les organisations soumises aux exigences applicables aux systèmes à haut risque de l’AI Act européen, Kiteworks fournit l’infrastructure de documentation et de journalisation requise par les évaluations de conformité. Pour les environnements régis par le CMMC, HIPAA, PCI DSS ou la SEC, ce même journal d’audit satisfait simultanément les exigences de plusieurs référentiels — réduisant ainsi le coût de conformité lié à la gestion d’un empilement réglementaire multi-référentiels.
Le tableau de bord CISO offre une visibilité en temps réel sur l’ensemble des interactions impliquant l’IA et les données, et facilite les rapports destinés aux conseils d’administration, de plus en plus exigés par les régulateurs et les assureurs comme preuve que la gouvernance de l’IA est réellement opérationnelle, et non simplement affichée.
Pour découvrir comment les capacités de gouvernance de l’IA de Kiteworks s’appliquent à votre environnement réglementaire, planifiez une démonstration personnalisée.
Questions fréquentes
La réglementation de l’IA désigne l’ensemble des lois, recommandations et cadres d’application qui encadrent la manière dont les organisations conçoivent, déploient et utilisent des systèmes d’intelligence artificielle — en particulier ceux qui accèdent à des données personnelles ou prennent des décisions à conséquences significatives. Elle s’applique à toute organisation qui utilise l’IA pour traiter des données réglementées, y compris les organisations de santé (HIPAA), les prestataires de la défense (CMMC), les acteurs des services financiers (Part 500 du NYDFS, GLBA, PCI DSS), et toute organisation opérant dans l’UE ou traitant les données de résidents européens (AI Act, RGPD). Aucune juridiction ne dispense une organisation, du fait de l’usage de l’IA, des obligations de gouvernance des données auxquelles elle est déjà soumise — la réglementation de l’IA ajoute des exigences, elle ne crée pas d’exceptions.
L’AI Act européen classe les systèmes d’IA par niveau de risque et impose des obligations proportionnées. Les pratiques d’IA interdites (surveillance de masse, notation sociale, identification biométrique en temps réel dans les espaces publics) sont purement et simplement bannies. Les systèmes d’IA à haut risque — utilisés dans l’identification biométrique, les infrastructures critiques, l’éducation, l’emploi, les services essentiels, l’application de la loi, la migration ou la justice — doivent répondre à des exigences en matière de gestion des risques, de gouvernance des données d’entraînement, de documentation technique, de transparence, de supervision humaine et de précision. Les modèles d’IA à usage général sont soumis à des obligations de transparence et de conformité en matière de droits d’auteur. L’AI Act s’applique à toute organisation mettant un système d’IA sur le marché européen, ou l’utilisant d’une manière qui affecte des résidents de l’UE, quel que soit le lieu d’implantation de l’organisation. Les sanctions peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.
La plupart des lois étatiques américaines sur l’IA s’appliquent en fonction du lieu de résidence des personnes concernées, et non du siège social de l’entreprise — le même modèle juridictionnel que celui qui régit les lois étatiques sur la protection des données. Une entreprise dont le siège se trouve au Texas, mais qui utilise l’IA pour prendre des décisions d’embauche affectant des résidents du Colorado, est ainsi soumise au Colorado AI Act. La réglementation californienne sur les ADMT s’applique à toute entreprise utilisant une technologie de décision automatisée affectant des résidents californiens. Dans les faits, la plupart des grandes entreprises américaines sont déjà soumises à la loi étatique la plus stricte applicable, sur l’ensemble de leurs activités aux États-Unis — car gérer des régimes de conformité distincts par État est, en pratique, ingérable. C’est pour cette raison que le référentiel californien est devenu, de facto, la norme nationale de référence.
Le « shadow AI » désigne l’utilisation, par les collaborateurs, d’outils d’IA non approuvés et non encadrés, en dehors de toute stratégie ou programme de gouvernance IA officiel. Selon une étude de 2026, plus de 80 % des collaborateurs utilisent des outils d’IA non approuvés. Le risque de conformité est direct : les collaborateurs qui copient du code source (30 % des données saisies dans le shadow AI), des documents juridiques (22 %) ou des données de fusion-acquisition (12,6 %) dans des outils non approuvés créent des voies de fuite de données qui enfreignent les mêmes réglementations que celles régissant les déploiements officiels d’IA. Les incidents liés au shadow AI constituent la principale cause de risque lié à des collaborateurs négligents, avec un coût moyen de 10,3 millions de dollars par an pour les organisations. Aucun référentiel de conformité n’offre de zone de sécurité pour les fuites de données causées par un usage de shadow AI initié par un collaborateur — les obligations de gouvernance des données de l’organisation s’appliquent, quel que soit l’outil choisi par le collaborateur.
Malgré la diversité des juridictions en matière de réglementation de l’IA, la plupart des référentiels convergent vers les quatre mêmes exigences techniques : (1) un accès aux données authentifié et fondé sur le moindre privilège — les systèmes d’IA n’accèdent qu’aux données pour lesquelles ils sont autorisés, cette autorisation étant vérifiée au moment de l’accès grâce à des contrôles basés sur les attributs ; (2) un chiffrement validé FIPS — les données consultées ou stockées par les systèmes d’IA sont chiffrées à l’aide de modules cryptographiques validés FIPS 140-3 ; (3) des journaux d’audit infalsifiables — chaque interaction impliquant l’IA et des données est journalisée dans un format ne pouvant être modifié a posteriori, et qui indique qui (ou quoi) a accédé à quelles données, à quel moment, et sous quelle autorisation ; (4) la documentation de la provenance des données d’entraînement — les organisations doivent pouvoir démontrer l’origine de leurs données d’entraînement, la validité des licences et consentements associés, et la présence éventuelle de données personnelles ou réglementées. Les organisations qui mettent en œuvre ces quatre contrôles satisfont simultanément le niveau de preuve exigé par HIPAA, le CMMC, l’AI Act européen, le RGPD et la plupart des référentiels étatiques américains sur l’IA.