Le bilan : 25 lois, sept États, deux semaines
L’accélération de la législation américaine sur l’IA d’État au T1 2026 n’a pas été une tendance progressive — c’est un événement. Au cours des deux dernières semaines de mars 2026, des gouverneurs de sept États — dont l’Utah, Washington et New York — ont signé 19 nouvelles lois sur l’IA en 14 jours, selon une analyse de Swept AI. Combiné aux adoptions du début du trimestre, le T1 s’est clôturé avec 25 lois d’État sur l’IA signées, représentant plus de législation spécifique à l’IA que l’année entière précédente.
Le gouverneur de l’Utah, Spencer Cox, a signé neuf projets de loi dans cette seule fenêtre de deux semaines — couvrant des exigences de divulgation en matière d’IA, des règles de protection des consommateurs pour le contenu généré par l’IA, et des restrictions sectorielles dans la santé et l’assurance. Le gouverneur de Washington, Bob Ferguson, a signé HB 1170 et HB 2225, HB 1170 introduisant des exigences de « divulgation latente » obligatoires pour le contenu généré par l’IA distribué par des fournisseurs desservant plus d’un million d’utilisateurs mensuels. La gouverneure de New York, Hochul, a signé des amendements à la loi RAISE Act (elle-même initialement signée en décembre 2025), la version amendée exigeant que les plateformes signalent aux autorités d’État les incidents critiques de sécurité liés à l’IA dans les 72 heures suivant leur identification.
La vague législative est le produit d’une dynamique politique spécifique : l’arrêté exécutif de l’administration Trump de décembre 2025 a chargé le gouvernement fédéral de préempter les réglementations d’État sur l’IA qui « constituent une charge excessive » pour le développement licite de l’IA, et le Cadre national de politique pour l’intelligence artificielle de la Maison Blanche de mars 2026 a formellement recommandé au Congrès d’adopter une préemption fédérale des lois d’État conflictuelles. Plutôt que de décourager l’action des États, les signaux de préemption semblent l’avoir accélérée — les législatures d’État s’empressent d’établir des cadres avant qu’une loi de préemption fédérale puisse être adoptée.
Ce que les lois exigent réellement
Les 25 lois d’État adoptées au T1 2026 ne sont pas uniformes. Elles couvrent au moins six catégories distinctes d’obligations de conformité, et les exigences de chaque catégorie varient significativement d’un État à l’autre. Comprendre le paysage substantiel nécessite d’aller au-delà du seul décompte des textes.
Les obligations de transparence et de divulgation constituent la catégorie la plus répandue. HB 1170 de Washington exige des fournisseurs de contenu généré ou modifié par l’IA desservant plus d’un million d’utilisateurs mensuels qu’ils intègrent des « divulgations latentes » — des métadonnées lisibles par machine identifiant l’origine IA — dans le contenu distribué. Les mesures de transparence IA de Californie exigent une divulgation lorsque des systèmes d’IA sont utilisés dans des interactions conséquentes avec les consommateurs. Les exigences de divulgation sur les chatbots de New York imposent aux opérateurs de signaler à l’utilisateur qu’il interagit avec un système d’IA.
Les restrictions sur la prise de décision automatisée représentent la charge de conformité la plus substantielle. La loi IA du Colorado (SB 24-205, effective le 30 juin 2026) exige des développeurs et déployeurs de « systèmes d’IA à haut risque » — définis comme des systèmes utilisés pour des décisions conséquentes sur l’emploi, l’éducation, le logement, le crédit, la santé et les procédures judiciaires — qu’ils mettent en œuvre des programmes de gestion des risques alignés sur le cadre de gestion des risques IA du NIST, conduisent des évaluations d’impact annuelles et maintiennent une conservation des données de trois ans. Un projet du groupe de travail de mars 2026 proposait de restreindre la définition à une « technologie de prise de décision automatisée couverte », ce qui pourrait réduire le périmètre, mais le texte statutaire actuel reste en vigueur.
Les restrictions sectorielles dans la santé et l’assurance prolifèrent rapidement. Les restrictions IA pour la santé au Texas et la loi AB 853 de Californie introduisent des calendriers de conformité progressifs pour les systèmes d’IA utilisés en aide à la décision clinique et en souscription d’assurance. L’exigence de rapport d’incident dans les 72 heures de la loi RAISE Act de New York pour les systèmes d’IA concernés crée une obligation de surveillance opérationnelle qui n’a pas d’équivalent fédéral.
La responsabilité pénale pour les contenus nuisibles générés par l’IA a été établie dans plusieurs États, couvrant les images intimes générées par l’IA sans consentement (deepfakes), l’interférence électorale via du contenu politique généré par l’IA, et la fraude assistée par l’IA. Ces dispositions sont largement hors du périmètre des programmes de conformité IA des entreprises, mais affectent toute plateforme hébergeant du contenu généré par les utilisateurs ou par l’IA.
Publicité
La question de la préemption fédérale
La position de l’administration Trump sur la préemption fédérale est formellement exposée dans le Cadre national de politique pour l’intelligence artificielle de mars 2026 : le Congrès devrait préempter les lois d’État relatives au développement de l’IA qui « constituent une charge excessive » pour l’activité licite. L’administration a également indiqué sa volonté d’emprunter des « voies d’exécution et administratives » — y compris des contestations potentielles du Department of Justice contre les lois d’État — en l’absence d’action législative du Congrès.
Le défi de la stratégie de préemption est qu’elle requiert une action législative, et le chemin législatif est étroit. Comme l’ont noté Morgan Lewis dans leur analyse d’avril 2026, aucun statut fédéral exhaustif sur l’IA n’a été adopté, et la composition bipartisane des soutiens aux lois d’État sur l’IA complique tout projet de loi de préemption fédérale. Des États à gouvernance républicaine — dont l’Utah, le Texas et la Géorgie — ont adopté leurs propres réglementations sur l’IA ; leurs sénateurs et représentants voteraient contre une législation de préemption qui annulerait les actions de leurs propres gouverneurs.
Il en résulte une impasse structurelle. Le gouvernement fédéral ne souhaite pas que les États réglementent l’IA mais ne peut adopter de loi pour les en empêcher. Les États estiment que la réglementation fédérale sera trop permissive et légifèrent de manière proactive. Les entreprises ne peuvent légalement ignorer les lois d’État dans l’attente d’un résultat de préemption qui pourrait prendre des années — ou ne jamais aboutir.
L’analyse de Morgan Lewis souligne que l’exécution fédérale via les autorités existantes — article 5 de la loi FTC pour les pratiques IA déloyales ou trompeuses, règles de divulgation SEC pour les risques IA matériels, responsabilité au titre du False Claims Act pour les contractants gouvernementaux, et exécution antitrust pour la concentration du marché IA — se poursuit indépendamment du débat sur la préemption. Les entreprises font donc face à la fois à une charge de conformité étatique en prolifération et à un environnement d’exécution fédérale actif, et non à un arbitrage entre les deux.
Ce que les équipes de conformité en entreprise devraient faire
Le défi de conformité créé par 25+ lois d’État aux exigences hétérogènes n’est pas un problème de compréhension de chaque loi individuellement. C’est un problème de construction d’une architecture de gouvernance IA capable d’accommoder la variation entre juridictions sans nécessiter un programme de conformité sur mesure par État.
1. Construire un registre de risques IA agnostique en termes de juridiction
L’étape fondatrice est un registre interne de chaque système d’IA déployé par l’organisation, catalogué par : cas d’usage prévu, catégories de décisions affectées (emploi, crédit, santé, logement, etc.), États américains où se trouvent les utilisateurs ou les personnes affectées, et la classification légale spécifique dans chaque juridiction applicable.
La définition de haut risque du Colorado, les systèmes couverts par la RAISE Act de New York, et les exigences de transparence de Californie utilisent chacune des critères de classification différents. Un registre qui capture le cas d’usage, la catégorie de décision affectée et la géographie des utilisateurs permet une seule opération de cartographie pour déterminer quelles lois s’appliquent à quels systèmes, plutôt que de réanalyser l’ensemble du portefeuille de systèmes pour chaque nouvelle loi d’État.
2. Adopter Colorado-plus comme référentiel de conformité
La loi IA du Colorado est actuellement la loi d’État sur l’IA la plus substantielle du pays — elle exige l’alignement sur le cadre NIST AI RMF, des évaluations d’impact annuelles et une conservation des documents de trois ans. Concevoir un programme de conformité qui satisfait aux exigences du Colorado, puis superposer les ajouts spécifiques à chaque État (rapport d’incident en 72 heures pour New York, divulgation latente pour Washington) crée un référentiel défendable couvrant la plupart des scénarios.
L’approche « Colorado-plus » reproduit la stratégie RGPD-comme-référentiel que les entreprises ont adoptée pour la conformité aux lois de confidentialité des États américains après 2018 : répondre au cadre le plus exigeant, ajouter les variations spécifiques à chaque État comme modules. C’est l’architecture la plus rentable pour une entreprise face à 25+ cadres hétérogènes.
3. Connecter la détection d’incidents à un processus de notification en 72 heures
L’amendement à la RAISE Act de New York exige le signalement des incidents critiques de sécurité IA dans les 72 heures suivant le moment où l’organisation détermine qu’un incident s’est produit. C’est plus strict que la plupart des lois de notification de violation de données (qui accordent généralement 30 à 72 heures à compter de la découverte, et non de la détermination) et nécessite un processus prédéfini — et non une procédure improvisée après un incident.
Les équipes de conformité doivent définir : ce qui constitue un « incident critique de sécurité IA » au titre des définitions applicables, qui dans l’organisation a l’autorité pour le déterminer, à quoi ressemble le processus de notification à l’autorité d’État de New York, et si le même incident déclencherait des obligations de notification dans d’autres juridictions (UE, Californie). Le chronomètre de 72 heures récompense les organisations dotées de plans d’action prédéfinis et pénalise celles qui n’en ont pas.
Le scénario correctif
La question évidente pour les équipes de conformité en entreprise est de savoir s’il faut construire le programme Colorado-plus maintenant, en sachant qu’une préemption fédérale pourrait rétrospectivement simplifier le paysage dans 1 à 3 ans. Le scénario correctif — où le Congrès adopte une loi de préemption et 20+ lois d’État sont annulées — est possible mais impossible à planifier.
Le coût de la construction d’un programme de conformité qui s’avère sur-dimensionné (parce que la préemption est passée) est gérable : une gouvernance documentée de l’IA, des registres de risques et des processus d’évaluation d’impact sont opérationnellement utiles même en l’absence d’obligations légales. Le coût de ne pas construire un programme de conformité et de voir la préemption échouer est asymétrique : procédures d’exécution, enquêtes des procureurs généraux d’État, et risque réputationnel d’être publiquement identifié comme non-conforme aux lois sur la protection des mineurs ou l’IA dans l’emploi.
Le décompte de 25 lois au T1 2026 n’est pas le plafond. Dans 45 États, les législateurs ont introduit 1 561 projets de loi relatifs à l’IA début 2026. Le pipeline législatif continuera de générer de nouvelles obligations plus vite que n’importe quel effort de préemption ne peut progresser au Congrès. Pour la conformité en entreprise, le postulat de travail doit être : la fragmentation est permanente, et l’architecture de gouvernance doit être construite pour la gérer.
Foire Aux Questions
Quelle est la différence entre le Colorado AI Act et la RAISE Act de New York ?
Le Colorado AI Act (SB 24-205, effectif le 30 juin 2026) est un cadre global couvrant tous les systèmes d’IA à haut risque utilisés dans des décisions conséquentes — emploi, éducation, crédit, logement, santé — et exige une gestion des risques alignée sur le cadre NIST AI RMF, des évaluations d’impact annuelles et une conservation des documents de trois ans. La RAISE Act de New York (signée en décembre 2025, amendée en mars 2026) se concentre sur les incidents de sécurité IA et exige que les organisations signalent les incidents critiques aux autorités d’État dans les 72 heures suivant la détermination d’un incident. Les deux lois ont des déclencheurs, des définitions de périmètre et des obligations de conformité différents — les entreprises dans les deux États ont besoin d’analyses distinctes.
Les entreprises peuvent-elles légalement attendre la préemption fédérale avant de construire des programmes de conformité d’État ?
Non. Les lois d’État sur l’IA sont valables et applicables à compter de leurs dates d’entrée en vigueur. Une loi de préemption fédérale devrait passer au Congrès, être signée par le Président et résister aux éventuelles contestations constitutionnelles avant de pouvoir supplanter les lois d’État — un processus qui pourrait prendre des années ou ne jamais aboutir. Les procureurs généraux d’État et les régulateurs peuvent faire appliquer leurs lois d’État dès aujourd’hui. Le Cadre politique de la Maison Blanche de mars 2026 recommandant la préemption n’est pas une loi ; c’est une recommandation législative. Les entreprises qui s’appuient sur la préemption comme stratégie de conformité s’exposent à des risques d’exécution pendant toute période d’écart.
Comment le cadre de gestion des risques IA du NIST se rapporte-t-il aux exigences de conformité des États américains ?
Le cadre de gestion des risques IA du NIST (AI RMF), publié en janvier 2023, est un document d’orientation volontaire qui fournit une approche structurée pour identifier, évaluer et gérer les risques IA. Le Colorado AI Act est la première loi d’État américaine à aligner explicitement ses exigences de conformité sur le NIST AI RMF, exigeant des développeurs de systèmes d’IA à haut risque qu’ils mettent en œuvre des pratiques de gestion des risques « conformes aux normes industrielles généralement acceptées », le NIST AI RMF étant cité comme norme de référence. Les entreprises qui mettent en œuvre le NIST AI RMF comme référentiel interne de gouvernance IA sont bien positionnées pour satisfaire aux exigences du Colorado et disposent d’un argument de conformité défendable dans d’autres juridictions évaluant les pratiques de gouvernance IA.
Sources et lectures complémentaires
- AI Enforcement Accelerates as Federal Policy Stalls and States Step In — Morgan Lewis
- State AI Laws: Where Are They Now — Cooley
- 19 State AI Laws in Two Weeks: What Every Enterprise Should Build — Swept AI
- US Tech Legislative & Regulatory Update: Q1 2026 — Global Policy Watch
- National Policy Framework for Artificial Intelligence — White House
- Orrick US AI Law Tracker — Orrick
🔗 Intelligence Connexe
Le cadre politique national américain pour l’IA : comment la préemption fédérale va remodeler les lois étatiques
Les lois IA des États américains en 2026 : Colorado, Californie, Texas et la collision fédérale
Fédéral contre États : la bataille de la préemption en matière d’IA qui redéfinit la
Le cadre IA de la Maison Blanche : préemption, États et la bataille pour un livre de règles fédéral unique
