Ce que dit réellement la loi — et pourquoi cela compte hors de Corée
Le titre officiel est l’Act on the Development of Artificial Intelligence and Establishment of Trust, publié le 27 août 2025 et effectif le 22 janvier 2026. Avec son décret d’application (le décret présidentiel mettant en œuvre la loi), il fait de la Corée du Sud le deuxième pays, après l’Union européenne, à adopter une loi horizontale sur l’IA couvrant les définitions, les obligations et les sanctions sur l’ensemble de la chaîne de valeur de l’IA.
Pour les fournisseurs non coréens, trois choix structurels de la loi sont les plus importants. D’abord, la loi s’applique de manière extraterritoriale : les fournisseurs étrangers d’IA dépassant des seuils précis — un trillion de KRW (~700 millions USD) de chiffre d’affaires annuel, 10 milliards de KRW (~7 millions USD) provenant de services d’IA, ou un million d’utilisateurs coréens quotidiens en moyenne sur les trois mois précédents — doivent désigner un représentant national basé en Corée. Ce représentant est le point de contact légal pour les soumissions de conformité, les notifications de transparence et les inspections réglementaires du MSIT au titre de l’article 40.
Ensuite, la loi divise les systèmes d’IA en deux niveaux réglementés qui se chevauchent sans être identiques. L’IA à fort impact est définie de manière fonctionnelle — des systèmes qui « affectent significativement la vie humaine, la sécurité ou les droits fondamentaux » dans la santé, l’énergie, les opérations nucléaires, le transport, l’analyse biométrique, le recrutement, l’éducation et la prise de décision publique. L’IA à haute performance est définie quantitativement — des systèmes entraînés avec au moins 10^26 FLOPs cumulés, le même seuil utilisé par l’AI Act européen pour les modèles d’IA à usage général à risque systémique. La plupart des modèles de fondation en production d’OpenAI, Anthropic, Google DeepMind et Meta franchissent cette ligne ; les dérivés plus petits et fine-tunés ne le font généralement pas.
Troisièmement, les fournisseurs d’IA générative font face à des règles de transparence autonomes au titre de l’article 31. Les opérateurs doivent informer les utilisateurs au préalable que l’IA est utilisée et étiqueter clairement les sorties (son, image, vidéo ou texte) difficiles à distinguer du contenu créé par l’humain. La loi prévoit une flexibilité pour « l’expression artistique et créative », mais le défaut pour les déploiements commerciaux est l’étiquetage obligatoire.
Le délai d’un an n’est pas une pause — c’est une échéance
Le délai accordé par le MSIT est largement mal interprété comme un démarrage en douceur. Ce n’en est pas un. Les amendes administratives au titre de l’article 43 — jusqu’à 30 millions KRW par infraction pour les manquements incluant l’absence de représentant national, les obligations de notification non remplies, les inspections refusées et les ordres correctifs ignorés — sont reportées jusqu’au 22 janvier 2027. Mais les obligations substantielles de la loi sont en vigueur depuis le 22 janvier 2026. Le MSIT peut toujours émettre des ordres correctifs, mener des enquêtes sur site, exiger des soumissions de données et ordonner des suspensions de service lorsqu’il juge qu’un système présente une menace pour la sécurité. Le délai suspend les amendes, pas les pouvoirs d’application.
Pour les fournisseurs mondiaux d’IA, cela crée un sprint de 12 mois avec trois chantiers menés en parallèle : la mise en place d’une entité juridique (désignation d’un agent national coréen), la classification des systèmes (quels modèles franchissent la ligne des 10^26 FLOPs et quels produits qualifient comme IA à fort impact), et les changements produit (pipelines d’étiquetage des sorties génératives, documentation de gestion des risques, et notifications de transparence côté utilisateur). Un fournisseur qui attend décembre 2026 pour démarrer ne finira pas avant l’application des amendes.
La Cloud Security Alliance et OneTrust notent tous deux que la fenêtre de grâce est la caractéristique la plus actionnable de la loi pour les équipes non coréennes : c’est la seule juridiction avec une loi horizontale sur l’IA où le calendrier jusqu’aux premières amendes est publié et prévisible. L’AI Act européen, en comparaison, échelonne l’application sur plusieurs échéances jusqu’en 2027, et l’application au niveau des États membres varie. L’expiration unique du délai coréen simplifie la planification de projet.
Publicité
Les obligations de l’article 34 pour l’IA à fort impact
Les opérateurs d’IA à fort impact portent la charge de conformité la plus lourde. L’article 34 impose cinq obligations qui correspondent directement à des livrables produit et opérationnels : établir et exploiter un plan de gestion des risques ; fournir des mécanismes d’explication pour les décisions générées par l’IA ; mettre en œuvre des mesures de protection des utilisateurs ; assurer la supervision humaine ; et préserver la documentation de sécurité et de fiabilité. Avant déploiement, les opérateurs doivent également mener une auto-évaluation pour déterminer si leur système qualifie comme IA à fort impact et peuvent, en option, demander la confirmation du MSIT.
Ces obligations sont fonctionnellement similaires au régime « haut risque » de l’AI Act européen mais avec deux différences pratiques. L’auto-évaluation coréenne place le fardeau de classification sur le fournisseur — il n’y a pas de liste publiée de produits d’IA à fort impact, donc les fournisseurs doivent lire les exemples sectoriels de la loi et décider. Et l’obligation de « mécanisme d’explication » est plus large que les règles d’explicabilité de l’UE : elle exige des opérateurs qu’ils fournissent les motifs des résultats générés par l’IA aux utilisateurs concernés, pas seulement aux régulateurs. L’IA en santé, l’IA de recrutement, les systèmes d’identification biométrique et les outils d’optimisation du réseau électrique tombent tous clairement dans le champ d’application.
Ce que les fournisseurs et responsables conformité doivent faire pendant la fenêtre de grâce
1. Désigner le représentant national coréen maintenant, pas fin 2026
Au titre de l’article 36, les fournisseurs étrangers d’IA dépassant les seuils utilisateurs ou revenus doivent désigner un représentant national avec une adresse en Corée du Sud avant l’application des amendes. Le représentant gère les soumissions de conformité, prend des mesures de sécurité et sert de point de contact légal pour les inspections du MSIT. Les fournisseurs qui attendent le T4 2026 feront face à un marché tendu pour des représentants qualifiés. Cooley et OneTrust rapportent tous deux que les conseils internes, les cabinets d’avocats coréens et les filiales locales existantes sont les trois structures viables. N’utilisez pas une filiale marketing — le MSIT exige que le représentant ait l’autorité réelle pour répondre aux ordres réglementaires.
2. Lancer la classification 10^26 FLOPs sur chaque modèle livré et chaque fine-tune
Le seuil de 10^26 FLOPs cumulés d’entraînement reflète celui de l’AI Act européen pour les GPAI à risque systémique, ce qui signifie que la plupart des équipes ont déjà un chiffre issu de leur travail de conformité UE. Appliquez-le : le calcul cumulatif compte le pré-entraînement, l’instruction tuning, le RLHF et toute étape de pré-entraînement continue. Pour les dérivés et fine-tunes, le décret d’application du MSIT précise que le compte est cumulatif sur le pipeline de développement. Documentez le calcul, l’outillage utilisé (W&B, MLflow, ou logs personnalisés), et stockez l’artefact — le MSIT peut le demander lors d’une inspection au titre de l’article 40.
3. Déployer l’étiquetage de l’IA générative avant que le trafic coréen ne franchisse le seuil utilisateurs
Les obligations de transparence de l’article 31 s’appliquent à toute sortie d’IA générative atteignant des utilisateurs coréens — pas seulement aux opérateurs avec bureaux coréens. Si votre produit sert des utilisateurs coréens et produit du son, de l’image, de la vidéo ou du texte difficile à distinguer du contenu créé par l’humain, vous avez besoin d’une notification préalable (« vous interagissez avec une IA ») et d’un étiquetage post-génération. Les content credentials C2PA sont l’implémentation technique la plus propre : ils survivent à la plupart des pipelines de plateformes et sont reconnus par l’article 50 de l’AI Act européen, donc un seul déploiement satisfait les deux régimes. Réservez l’exception pour « l’expression artistique et créative » aux véritables outils créatifs ; ne l’étirez pas pour couvrir les chatbots commerciaux ou les API de génération d’images.
4. Construire la documentation de gestion des risques de l’article 34 au format AI Act européen
Le plan de gestion des risques de l’article 34, le mécanisme d’explication, les mesures de protection des utilisateurs, les contrôles de supervision et la documentation de sécurité/fiabilité correspondent presque un-à-un à la documentation technique Annexe IV du régime « haut risque » de l’AI Act européen, à l’analyse d’impact RGPD article 35, et au NIST AI RMF. Construisez le pack de documentation une fois au format AI Act européen et ajoutez une page de couverture coréenne — ne créez pas de pipeline de documentation parallèle. Cooley rapporte que la plupart des fournisseurs multinationaux d’IA adoptent exactement cette approche pour éviter les frais de conformité dupliqués.
5. Mettre en place le processus de réponse aux ordres correctifs avant que le MSIT n’en émette un
Les pouvoirs de l’article 40 du MSIT — enquête sur site, contrainte de données et suspension de service — sont déjà actifs pendant la fenêtre de grâce même si les amendes ne le sont pas. Les opérateurs qui ignorent un ordre correctif en 2026 commenceront janvier 2027 avec une infraction existante au dossier et une exposition immédiate aux amendes. Désignez un responsable interne (typiquement le représentant national coréen plus un responsable mondial de la conformité IA), définissez le SLA pour répondre aux requêtes du MSIT (cible : 5 jours ouvrés), et menez un exercice tabletop avant décembre 2026.
La place de cette loi dans le paysage de la gouvernance de l’IA en 2026
La loi-cadre coréenne sur l’IA est le deuxième domino de ce qui devient une base à quatre juridictions pour une conformité IA sérieuse : l’AI Act européen, la loi-cadre coréenne, le patchwork américain de lois d’État (avec l’AI Act du Colorado ancrant le régime « haut risque »), et les mesures intérimaires de la Chine sur l’IA générative. Chacun a une philosophie structurelle différente — l’UE est lourde en processus, la Corée équilibre innovation et supervision, les États-Unis sont fragmentés par secteur, et la Chine est centrée sur le contenu — mais le chevauchement opérationnel est important. Un fournisseur avec une conformité AI Act européen mature peut satisfaire 70-80 % des obligations coréennes avec une documentation rebadgée et un représentant national.
L’implication stratégique est que la conformité est maintenant un coût fixe d’opération sur tout marché majeur de l’IA, et le coût se standardise. Les fournisseurs qui construisent leur pile de conformité en 2026 — gestion des risques, étiquetage de transparence, documentation auditable, représentants juridictionnels — auront un avantage durable lorsque la prochaine juridiction (probablement le Royaume-Uni ou le Japon) déposera son propre cadre. Les fournisseurs qui reportent la conformité jusqu’aux premières amendes se retrouveront à faire le même travail en 2027 sous pression réglementaire, avec moins d’effet de levier et moins de talents disponibles.
Pour les fournisseurs d’IA algériens et MENA au sens large, la leçon pratique est que même des juridictions relativement petites avancent plus vite que prévu, et que le seuil de calcul (10^26 FLOPs) crée une ligne nette entre les obligations qui s’appliquent aux développeurs de modèles frontière et celles qui s’appliquent à tout le monde. La plupart des produits IA algériens sont bien en deçà de cette ligne et ne feront face qu’aux règles d’étiquetage de l’IA générative et aux obligations de transparence — significatives mais gérables.
Questions Fréquemment Posées
Quelle est exactement la différence entre IA « à fort impact » et IA « à haute performance » selon la loi coréenne ?
L’IA à fort impact est définie par cas d’usage — des systèmes déployés dans la santé, l’énergie, la biométrie, le transport, le recrutement, l’éducation ou la prise de décision publique qui affectent la vie, la sécurité ou les droits fondamentaux. L’IA à haute performance est définie par le calcul d’entraînement — au moins 10^26 FLOPs cumulés. Un modèle frontière déployé dans un système de triage hospitalier qualifierait sous les deux catégories et porterait les obligations à la fois de l’article 34 (fort impact) et des dispositions pertinentes pour la haute performance.
Quand les amendes administratives commencent-elles réellement à s’appliquer ?
La loi est entrée en vigueur le 22 janvier 2026, mais le MSIT a reporté les amendes au titre de l’article 43 jusqu’au 22 janvier 2027. Pendant l’année de grâce, le MSIT peut toujours émettre des ordres correctifs, mener des enquêtes et ordonner des suspensions de service — mais ne peut pas imposer les amendes de 30 millions KRW par infraction. Les obligations substantielles sont en vigueur tout au long du délai.
La loi s’applique-t-elle aux fournisseurs d’IA sans bureau coréen ?
Oui, si le fournisseur dépasse l’un des trois seuils : un trillion de KRW de chiffre d’affaires annuel, 10 milliards de KRW provenant de services d’IA, ou un million d’utilisateurs coréens quotidiens en moyenne sur trois mois. Ces fournisseurs doivent désigner un représentant national avec une adresse en Corée du Sud au titre de l’article 36. En deçà de ces seuils, les obligations d’étiquetage et de transparence de l’article 31 s’appliquent toujours aux sorties atteignant les utilisateurs coréens, mais l’exigence de représentant national ne s’applique pas.
Sources et lectures complémentaires
- South Korea’s AI Basic Act: Overview and Key Takeaways — Cooley
- South Korea: Comprehensive AI Legal Framework Takes Effect — Library of Congress
- South Korea’s New AI Framework Act: A Balancing Act Between Innovation and Regulation — Future of Privacy Forum
- South Korea Artificial Intelligence (AI) Basic Act — U.S. Department of Commerce
- Global AI Governance: South Korea — IAPP
- What You Need to Know About South Korea’s AI Basic Act — Cloud Security Alliance
