Réglementations IA aux États-Unis en 2026 : décrets fédéraux, lois des États, et ce qu'il faut respecter dès maintenant

Les États-Unis n'ont toujours pas de loi fédérale exhaustive sur l'IA. Le Congrès a tenu des auditions, fait circuler des propositions et débattu pendant des années. Mais rien de contraignant n'a été adopté. Si vous attendez un livre de règles unique et clair, vous attendrez encore un moment.

Cela ne veut pas dire que l'IA n'est pas régulée. Ce qui s'est passé est plus désordonné : des décrets exécutifs tirant dans un sens, des législatures d'État poussant dans un autre, des agences fédérales appliquant les lois existantes contre les entreprises d'IA, et des cadres volontaires comme le NIST AI RMF prenant un poids opérationnel réel. Vos obligations de conformité dépendent désormais de l'endroit où vous opérez, du secteur dans lequel vous évoluez et de ce que font réellement vos systèmes IA.

Nous avons publié un livre blanc complet couvrant cet environnement réglementaire en profondeur. Ce billet parcourt les conclusions clés.

Pas de loi fédérale sur l'IA, mais une activité fédérale bien réelle

Pas de législation omnibus ne signifie pas vide réglementaire. Le gouvernement fédéral a été actif via des décrets, l'application par les agences et les cadres volontaires. Le tableau est seulement plus difficile à lire qu'une loi unique ne le serait.

L'administration Trump a signé 2 décrets qui ont donné le ton fédéral. Le premier, en janvier 2025 (Executive Order 14179), a abrogé le décret sur la sûreté de l'IA de l'ère Biden et a ordonné aux agences de lever les obstacles à l'adoption de l'IA. Le second, en décembre 2025, est allé plus loin : il a créé une AI Litigation Task Force pour contester les lois IA d'État, a chargé le département du Commerce d'évaluer quelles lois d'État entrent en conflit avec les objectifs fédéraux et a menacé de retirer des financements fédéraux aux États dont les lois IA sont jugées « onerous ».

Le décret de décembre 2025 pèse plus. Il établit des mécanismes permettant au gouvernement fédéral de repousser la réglementation d'État, mais il ne crée par lui-même aucun standard ni exigence fédérale en matière d'IA. Les lois IA d'État existantes restent en vigueur à moins qu'elles ne soient contestées avec succès en justice.

Il y a des exclusions qu'il vaut la peine de connaître. Le décret exempte 3 domaines de la préemption : la sécurité des enfants dans les contextes IA, l'infrastructure de calcul et de centres de données pour l'IA, et l'achat d'IA par les gouvernements des États. Si vous opérez dans l'un de ces domaines, partez du principe que l'autorité d'application des États se maintient.

Les États comblent le vide, vite

Avec la législation fédérale au point mort, les États sont devenus les moteurs principaux d'une réglementation IA contraignante. Le rythme s'est accéléré en 2025 et 2026, avec plusieurs lois entrant en vigueur le 1er janvier 2026 et d'autres à venir au long de l'année.

Colorado AI Act (abrogé et remplacé par SB 26-189)

Le Colorado avait adopté avec SB 24-205 la loi la plus complète au niveau étatique en matière de gouvernance de l'IA, ciblant les développeurs et déployeurs de systèmes IA « à haut risque » prenant des décisions conséquentes en matière d'éducation, d'emploi, de services publics, de santé, de logement, d'assurance ou de services juridiques. Elle exigeait des programmes de gestion des risques, des divulgations aux consommateurs et l'atténuation de la discrimination algorithmique. Initialement fixée au 1er février 2026, la mise en œuvre avait été reportée au 30 juin 2026 après les pressions du secteur.

Elle n'est jamais entrée en vigueur. En mai 2026, le Colorado a abrogé et remplacé la loi par SB 26-189, un statut plus étroit régulant la technologie de prise de décision automatisée (ADMT) qui influence matériellement des décisions conséquentes, en vigueur au 1er janvier 2027. Les programmes de gestion des risques, les évaluations d'impact et le devoir de vigilance ont disparu ; à leur place : des préavis aux consommateurs avant utilisation, des explications sous 30 jours en cas d'issue défavorable, des droits à une révision humaine significative et des obligations de documentation pour les développeurs. Voir la mise à jour juin 2026 plus bas et notre guide de conformité Colorado SB 26-189 mis à jour.

Si vous déployez de l'ADMT qui influence l'une de ces catégories de décision pour des consommateurs du Colorado (une définition qui inclut les employés et candidats résidant au Colorado), la nouvelle loi s'applique à vous. Le module project risk de VerifyWise suit les systèmes IA sur les 7 phases du cycle de vie, ce qui soutient le travail d'inventaire, de documentation et de rétention des dossiers que SB 26-189 attend.

Californie : l'environnement de conformité le plus complexe

La Californie est allée plus loin que tout autre État en volume pur. Plusieurs lois sont entrées en vigueur le 1er janvier 2026 :

Le Transparency in Frontier AI Act (SB 53) impose aux développeurs de grands modèles frontière (entraînés avec plus de 10^26 FLOPS) de publier des cadres de risque, de signaler les incidents de sûreté et de mettre en place des protections pour les lanceurs d'alerte. Les sanctions peuvent atteindre 1 M US$ par infraction pour les entreprises au revenu annuel supérieur à 500 M US$.

L'AI Training Data Transparency Act (AB 2013) impose aux développeurs de systèmes IA génératifs de publier des résumés de leurs jeux de données d'entraînement, incluant sources, types, informations relatives à la propriété intellectuelle et détails sur les données personnelles.

L'AI Transparency Act (SB 942) impose aux fournisseurs d'IA de divulguer lorsque le contenu est généré par IA, y compris via watermarking. Les réglementations californiennes CCPA sur la prise de décision automatisée ajoutent des exigences d'évaluation des risques en vigueur au 1er janvier 2026, avec des dispositions complètes (préavis avant utilisation, opt-outs consommateurs) prévues au 1er janvier 2027.

Si vous construisez ou déployez de l'IA en Californie, vous faites face à un environnement de conformité en couches où plusieurs lois peuvent s'appliquer simultanément.

Texas TRAIGA

Le Texas a adopté le Responsible AI Governance Act au 1er janvier 2026. La version finale a été nettement resserrée pendant le processus législatif. Elle élimine la plupart des obligations du secteur privé et limite les exigences de conformité principalement à l'usage gouvernemental de l'IA.

Cela dit, TRAIGA impose toujours des interdictions catégoriques pour les systèmes IA conçus pour la manipulation comportementale, la discrimination illicite, l'incitation à la violence ou la production de deepfakes de matériel d'abus sexuels sur enfants. Il restreint aussi les entités d'État dans l'utilisation de l'IA pour le scoring social ou l'identification biométrique sans consentement, et établit un Texas Artificial Intelligence Council avec un programme de bac à sable réglementaire. Voir notre aperçu Texas AI Act pour une analyse plus approfondie.

Illinois et New York

L'Illinois exige des employeurs qu'ils informent les candidats lorsque l'IA analyse les entretiens vidéo, qu'ils obtiennent le consentement avant l'évaluation IA et qu'ils suivent les règles de rétention des données. Ces dispositions sont entrées en vigueur en février 2026.

La Local Law 144 de New York City reste l'une des réglementations IA locales les plus opérationnellement significatives. Elle exige des audits de biais pour les outils automatisés de décisions d'emploi et reste activement appliquée. L'État de New York a renforcé avec le RAISE Act, des exigences de divulgation pour les interprètes synthétiques et une supervision élargie des outils de décision automatisés.

Si votre organisation utilise l'IA dans les décisions d'embauche, vous êtes probablement soumis à des exigences qui se chevauchent issues de NYC Local Law 144, des règles d'entretien vidéo de l'Illinois, des restrictions du Maryland et du New Jersey, des réglementations du Civil Rights Department de Californie et des lois fédérales anti-discrimination.

Échéances clés de conformité en un coup d'œil

La FTC n'attend pas le Congrès

La Federal Trade Commission est l'agence fédérale la plus active en matière d'application de l'IA, utilisant son autorité existante au titre de la Section 5 du FTC Act pour s'attaquer aux pratiques IA déloyales ou trompeuses. Cela se produit quel que soit le parti qui tient la Maison-Blanche.

L'initiative « Operation AI Comply » de la FTC, lancée en septembre 2024, vise les entreprises qui formulent des affirmations non étayées sur des produits IA. Plus sur l'approche de la FTC sur notre page sur les lignes directrices IA de la FTC. Actions d'application notables :

Workado (Content at Scale AI) a annoncé son outil de détection de contenu IA avec une précision de 98 %. Les tests ont montré environ 53 % de précision. La FTC a émis une consent order obligeant l'entreprise à cesser ses affirmations non étayées.

DoNotPay a réglé en janvier 2025 pour avoir commercialisé un chatbot IA comme « world's first robot lawyer » sans tests adéquats. Growth Cave a réglé en janvier 2026 des allégations sur la représentation erronée des capacités d'automatisation de son logiciel IA.

La direction actuelle de la FTC, sous le président Andrew Ferguson, a signalé une philosophie d'application plus étroite que l'administration précédente. Mais l'application contre le « AI washing » se poursuit sur une base bipartisane. La leçon pratique : chaque affirmation que vous faites sur les capacités, l'exactitude ou la performance de votre système IA doit être étayée par des preuves documentées.

Les organisations doivent traiter les affirmations marketing IA avec la même rigueur que les divulgations financières. L'evidence center de VerifyWise fournit un dépôt centralisé pour les preuves de conformité avec un journal d'audit complet de toutes les opérations sur fichiers, ce qui rend simple le maintien de l'étayement documenté que l'application de la FTC exige désormais.

NIST AI RMF : le cadre volontaire aux dents qui poussent

Le NIST AI Risk Management Framework, publié en janvier 2023, est devenu le standard opérationnel de fait pour la gouvernance de l'IA aux États-Unis. Il est volontaire, mais son influence s'étend bien au-delà d'une adoption optionnelle.

Le cadre est bâti sur 4 fonctions principales : Govern (structures organisationnelles et redevabilité), Map (identifier contexte, risques et impacts), Measure (évaluer les risques quantitativement et qualitativement) et Manage (mettre en place traitement et suivi).

Les contractants fédéraux se voient de plus en plus attendre une gouvernance alignée NIST. Les législatures d'État référencent le cadre dans leurs lois. Les organismes de régulation internationaux l'utilisent comme compagnon technique pour la conformité à l'EU AI Act. Le cadre du département du Trésor pour les services financiers de février 2026 traduit les principes du NIST AI RMF en 230 objectifs de contrôle mappés pour les institutions financières.

Les développements récents incluent le Generative AI Profile (NIST-AI-600-1), un projet de Cyber AI Profile (NIST IR 8596) et des mises à jour attendues via AI RMF 1.1 avec des profils étendus et des méthodologies d'évaluation jusqu'en 2026.

Si vous choisissez un cadre unique pour ancrer votre programme de gouvernance IA, le NIST AI RMF est le pari le plus solide pour les organisations basées aux États-Unis. Il s'aligne avec les exigences actuelles des États et vous positionne bien pour la législation fédérale qui finira par émerger. Vous pouvez aussi explorer notre outil d'évaluation NIST AI RMF pour estimer votre position.

Le face-à-face fédéral vs États

C'est probablement le développement le plus lourd de conséquences dans la gouvernance IA américaine en ce moment. Le gouvernement fédéral et les États se dirigent vers une confrontation sur qui peut réguler l'IA.

La position fédérale : la régulation État par État crée des défis de conformité ingérables et menace la compétitivité américaine. Le décret de décembre 2025 identifie 3 préoccupations. Premièrement, 50 régimes réglementaires différents rendent la conformité disproportionnément coûteuse, particulièrement pour les startups. Deuxièmement, certaines lois d'État peuvent contraindre les systèmes IA à produire des résultats inexacts pour satisfaire aux exigences anti-discrimination. Troisièmement, certaines lois d'État régulent au-delà de leurs frontières, empiétant sur le commerce inter-États.

Les États ont repoussé fort. Plusieurs responsables d'État affirment que le décret outrepasse les pouvoirs de police traditionnels des États et leur autorité en matière de protection des consommateurs. Plusieurs États ont signalé qu'ils continueraient d'appliquer leurs lois IA quoi qu'il arrive.

Voici ce qui compte pour la planification de la conformité : le décret ne suspend ni n'invalide aucune loi d'État. Même si des statuts IA spécifiques font face à des contestations fédérales, les procureurs généraux des États conservent la capacité de poursuivre l'application au titre des statuts généraux de protection des consommateurs et de la concurrence. Tant que les tribunaux n'ont pas tranché les litiges de préemption, vous devez maintenir la conformité avec toutes les exigences d'État existantes.

Le Congrès est aussi entré dans le débat. En mai 2025, les Républicains de la Chambre ont tenté d'insérer une clause interdisant les lois IA d'État pendant 10 ans dans un projet de loi de dépenses. La proposition a rencontré une forte opposition et n'a pas avancé. La portée de toute législation fédérale éventuelle reste profondément incertaine.

Réglementations sectorielles que vous ne pouvez ignorer

Au-delà des lois d'État larges, la régulation IA passe aussi par des canaux sectoriels. Si vous opérez dans l'emploi, la santé, les services financiers ou les secteurs face client, vous faites face à des obligations supplémentaires.

L'emploi est le domaine le plus fortement régulé. Les organisations qui utilisent l'IA dans les décisions d'embauche, de promotion ou de gestion des effectifs doivent naviguer dans les exigences d'audit de biais de NYC Local Law 144, les dispositions de consentement vidéo de l'Illinois, les restrictions au Maryland et au New Jersey, les réglementations du Civil Rights Department californien sur l'usage discriminatoire de l'IA, et les statuts fédéraux anti-discrimination (Title VII, ADA, ADEA) tels qu'appliqués par l'EEOC à la prise de décision algorithmique.

Les services financiers font face aux attentes réglementaires les plus matures. Le cadre du département du Trésor de février 2026 mappe les principes du NIST AI RMF en 230 objectifs de contrôle opérationnels couvrant la gouvernance du cycle de vie du modèle, la résolution d'identité, la gouvernance des données et l'intégration avec SOC 2 et le NIST Cybersecurity Framework.

La santé a le Health Care Services AI Act de Californie qui exige des fournisseurs utilisant l'IA générative pour les communications patients de divulguer ce fait et de fournir des instructions pour contacter un humain. Plusieurs États envisagent des réglementations supplémentaires pour l'aide à la décision clinique et le traitement des sinistres d'assurance. Les organisations qui traitent des données de santé devraient aussi examiner leurs obligations HIPAA appliquées aux systèmes IA.

La protection des consommateurs traverse plusieurs États avec des exigences de divulgation pour les chatbots, des protocoles de sécurité pour les usages IA à haut risque impliquant des mineurs et des restrictions sur l'utilisation de données personnelles dans la tarification algorithmique.

Ce que votre organisation devrait faire maintenant

Voici les étapes pratiques qui comptent le plus dans l'environnement réglementaire actuel.

Construisez un inventaire IA complet. Documentez chaque système IA en usage, y compris la propriété, le contexte de déploiement, la classification de risque et le statut de gouvernance. C'est une attente de base à travers plusieurs lois d'État et cadres volontaires. Vous ne pouvez pas gouverner ce que vous ne voyez pas, ce pour quoi la détection de Shadow AI doit faire partie de votre programme de gouvernance dès le premier jour.

Mappez les exigences spécifiques aux juridictions. Pour chaque système IA, identifiez quelles exigences d'État et fédérales s'appliquent en fonction d'où il est développé, déployé et utilisé. Un standard de conformité unique ne suffira pas. La page réglementations IA mondiales de notre site peut vous aider à comparer les cadres entre juridictions.

Adoptez le NIST AI RMF comme fondation opérationnelle. Il s'aligne avec les exigences actuelles des États, vous positionne pour les standards fédéraux anticipés et fournit l'approche structurée que les auditeurs et régulateurs s'attendent à voir. Notre outil de cartographie NIST AI RMF peut vous aider à commencer.

Préparez-vous à l'incertitude de préemption. Construisez des programmes de conformité capables de s'adapter rapidement. Continuez à respecter toutes les lois d'État existantes tout en surveillant les activités de la DOJ Task Force, les évaluations du département du Commerce et les développements du Congrès.

Documentez tout. Évaluations de risque, résultats de tests de biais, évaluations d'impact, divulgations de transparence, décisions de gouvernance. La documentation est le fil rouge à travers presque toute réglementation IA actuelle et proposée. Les organisations utilisant le système de reporting automatisé de VerifyWise peuvent générer la documentation de conformité sur plus de 10 catégories de rapports en minutes, au lieu des jours ou semaines que la compilation manuelle exige.

Étayez vos affirmations marketing IA. L'application bipartisane de la FTC sur l'AI washing signifie que chaque affirmation sur les capacités, l'exactitude ou la performance a besoin de preuves documentées rigoureuses derrière elle.

Surveillez le calendrier. Dates clés à venir : déclarations de politique de la FTC sur l'application de la Section 5 à l'IA (mars 2026), évaluation des lois IA d'État par le département du Commerce (mars 2026), dispositions du TAKE IT DOWN Act (mai 2026), la loi ADMT Colorado SB 26-189 (1er janvier 2027), et dispositions ADM du CCPA californien (janvier 2027).

Le mot de la fin

Le tableau de la gouvernance IA américaine en 2026 est défini par la tension : ambitions fédérales de dérégulation vs législation agressive des États, cadres volontaires vs mandats applicables, promotion de l'innovation vs protection des consommateurs.

Si vous exploitez des systèmes IA, l'absence d'une loi fédérale complète ne vous décharge pas. Entre les statuts d'État, l'application par les agences fédérales au titre des autorités existantes et l'influence croissante de cadres comme le NIST AI RMF, vous faites face à un réseau d'obligations qui ne fera que s'étendre.

Les organisations qui naviguent le mieux dans tout cela seront celles qui traitent la gouvernance IA comme une capacité stratégique plutôt qu'une case à cocher de conformité. Gestion systématique des risques, documentation exhaustive et capacité à s'adapter aux changements réglementaires ne servent pas seulement à éviter les sanctions. C'est ainsi que vous construisez le type de confiance que clients, régulateurs et parties prenantes exigent de plus en plus.

Pour l'analyse complète avec les ventilations détaillées des lois d'État, les calendriers de conformité et les conseils sectoriels, téléchargez le livre blanc complet ici.

Mise à jour juin 2026

Développements à noter depuis la première publication de ce billet.

Le Colorado a abrogé et remplacé son AI Act. Le 14 mai 2026, le gouverneur Polis a signé SB 26-189, qui abroge SB 24-205 avant même son entrée en vigueur et le remplace par une loi sur la technologie de prise de décision automatisée (ADMT) en vigueur au 1er janvier 2027. Les évaluations d'impact, les programmes obligatoires de gestion des risques et l'affirmative defense NIST/ISO ont disparu ; les nouvelles obligations se concentrent sur les préavis aux consommateurs avant utilisation, les explications sous 30 jours en cas d'issue défavorable, la révision humaine significative et la documentation des développeurs, avec une période de remédiation de 60 jours et une application exclusive par l'Attorney General. Voir notre guide de conformité Colorado SB 26-189 mis à jour.

L'audit de l'Ontario relève la barre du secteur public. Bien que hors États-Unis, le Office of the Auditor General of Ontario a publié un audit de performance de l'usage de l'IA au gouvernement de l'Ontario en mai 2026. Il a signalé 10 lacunes de gouvernance qui se mappent presque directement aux contrôles NIST AI RMF et ISO 42001 : accès Shadow AI aux sites web, absence de tests de biais sur les systèmes de reconnaissance faciale, échecs d'évaluation des fournisseurs et aucun engagement d'investissement pour la stratégie. Les acheteurs publics américains devraient s'attendre à des audits similaires à mesure que les bureaux IA d'État se mettent en place.

Le momentum d'application de la FTC se poursuit. Le schéma est constant : la FTC continue d'utiliser la Section 5 comme principal outil contre les affirmations IA qui surestiment les capacités ou s'appuient sur le traitement IA non divulgué des données consommateurs. Si vous commercialisez des fonctionnalités IA, le guidance FTC sur les affirmations IA est le document à étudier.

Cette analyse est à jour au 15 mai 2026 et est sujette à changement à mesure que l'environnement réglementaire évolue. Les organisations devraient consulter des conseils juridiques qualifiés sur les obligations de conformité spécifiques.