RGPD, AI Act et ISO 42001 sont codés en profondeur dans le moteur ACF : chaque article cartographié, obligations chaînées au scoring D1-D6, audit trail Ed25519 adapté. 12 frameworks transverses (DORA, NIS2, ISO 27001/27701, LGPD, CCPA, etc.) sont en construction 2026-2027. 13 juridictions IA non-UE (UK, US-Fed/CO/CA/NY, CA, BR, CH, JP, CN, KR, AU, IN) sont cartographiées et utilisables dans le moteur multi-juridiction aujourd'hui. Étroit et profond plutôt que large et superficiel.
Régulations directement applicables aux systèmes d'intelligence artificielle. L'EU AI Act est codé en profondeur (cœur ACF) ; les 13 autres juridictions sont cartographiées et utilisées par le moteur de classification multi-juridiction.
| Régulation | Juridiction | Article clé | Sanction maximale | En vigueur | Couverture ACF |
|---|---|---|---|---|---|
EU AI Act Règlement (UE) 2024/1689 sur l'intelligence artificielle | Union européenne (27 États membres) | Art. 5 (interdits) · Annexe III (haut risque) · Art. 50 (transparence) | 35 M€ ou 7 % du CA mondial | Août 2024 (application progressive jusqu'en 2027) | Cœur ACF |
UK AI Bill United Kingdom Artificial Intelligence Bill | Royaume-Uni | Sectoriel via ICO, FCA, MHRA | Jusqu'à 4 % CA mondial (UK GDPR, via ICO) | Annoncé 2024-2026 (projet de loi) | Cartographié |
US NIST AI RMF NIST AI Risk Management Framework + Executive Order 14110 | États-Unis (fédéral) | AI RMF 1.0 + EO 14110 (oct. 2023) | Variable selon agence (FTC, EEOC, CFPB...) | Janvier 2023 (RMF) + EO oct. 2023 | Cartographié |
Colorado AI Act Colorado Senate Bill 24-205 (AI Act) | État du Colorado (US) | Section 6-1-1701 et suiv. (high-risk AI systems) | Action attorney general + injonctions | Février 2026 | Cartographié |
California AI Laws CCPA/CPRA + AB-2013 (AI training data) + SB-942 (AI watermark) | État de Californie (US) | CCPA §1798 + AB-2013 + SB-942 | 2 500 $ par violation, 7 500 $ si intentionnelle (CCPA) | Variable selon loi (2024-2026) | Cartographié |
New York AI Laws NYC Local Law 144 (AEDT) + NY State proposals | État de New York (US) | Local Law 144 (Automated Employment Decision Tools) | 1 500 $ par violation/jour | Juillet 2023 (Local Law 144) | Cartographié |
Canada AIDA Artificial Intelligence and Data Act (Bill C-27) | Canada (fédéral) | Part 3 de la Bill C-27 (AIDA) | 5 % CA mondial ou 25 M CAD | Adoption attendue 2025-2026 | Cartographié |
Brésil Marco Legal IA Marco Legal da Inteligência Artificial (PL 2338/2023) | Brésil (fédéral) | PL 2338/2023 + LGPD pour données | Variable, jusqu'à 2 % CA brésilien (via ANPD) | Adoption attendue 2025-2026 | Cartographié |
Switzerland AI Position de l'OFCOM/CFI + Convention IA Conseil de l'Europe | Suisse | Convention CoE IA (signée 2024) + LPD CH 2023 | Selon application LPD (jusqu'à 250 000 CHF) | Convention CoE en vigueur 2026 | Cartographié |
Japan AI Strategy AI Strategy 2025 + Guidelines for AI Business | Japon | AI Bill 2024 + Guidelines METI/MIC | Sectoriel (APPI pour données : 100 M ¥) | Guidelines actives, Bill 2024-2026 | Cartographié |
China AI Regulations Generative AI Measures + Algorithm Recommendations Regs | Chine | Mesures sur l'IA générative (août 2023) + Algorithm Recommendation Regs | Sectorielle (CAC, MIIT) | Août 2023 (génér.), mars 2022 (algorithmes) | Cartographié |
Korea AI Framework Act AI Framework Act (loi cadre IA, sept. 2024) | Corée du Sud | AI Framework Act + PIPA pour données | Sectorielle (PIPC pour PIPA) | Adoption sept. 2024, entrée en vigueur janvier 2026 | Cartographié |
Australia AI Voluntary AI Safety Standard + Privacy Act review | Australie | AI Safety Standard 2024 + Privacy Act 1988 | Privacy Act : jusqu'à 50 M AUD | Voluntary 2024, statutory en discussion | Cartographié |
India AI / DPDP Act Digital Personal Data Protection Act 2023 + AI advisory MeitY | Inde | DPDP Act 2023 + Advisory MeitY mars 2024 | DPDP : jusqu'à 250 crore INR (~28 M€) | DPDP 2023, advisory IA 2024 | Cartographié |
Cadres de protection des données personnelles dans le monde. RGPD est codé en profondeur (cœur ACF) ; les 4 autres sont en roadmap 2026-2027.
| Régulation | Juridiction | Article clé | Sanction maximale | En vigueur | Couverture ACF |
|---|---|---|---|---|---|
RGPD Règlement (UE) 2016/679 — Protection des données personnelles | Union européenne | Art. 5, 6, 13-22, 30, 32, 33-34, 35 (DPIA) | 20 M€ ou 4 % CA mondial | Mai 2018 | Cœur ACF |
CCPA / CPRA California Consumer Privacy Act + California Privacy Rights Act | Californie (US) | Civ. Code §1798.100 et suiv. | 7 500 $ par violation intentionnelle (CPPA) | Janvier 2020 (CCPA), janvier 2023 (CPRA) | Roadmap 2026-2027 |
LGPD (Brésil) Lei Geral de Proteção de Dados Pessoais | Brésil | Art. 6, 7, 9, 18, 41, 46 (DPIA) | 2 % CA Brésil, max 50 M BRL par infraction | Septembre 2020 | Roadmap 2026-2027 |
APPI (Japon) Act on the Protection of Personal Information | Japon | Loi n° 57 de 2003 (révision 2022) | 100 M ¥ (~620 K€) par société | 2003 (révision avril 2022) | Planifié 2027+ |
PIPEDA (Canada) Personal Information Protection and Electronic Documents Act | Canada (fédéral) | PIPEDA 2000 (à remplacer par CPPA via Bill C-27) | 100 K CAD par infraction (futur CPPA : 5 % CA) | 2000 (réforme en cours via C-27) | Roadmap 2026-2027 |
Cyber-résilience, sécurité des secteurs essentiels, produits numériques. Tous en roadmap 2026-2027 — DORA et NIS2 en cours d'intégration, CRA planifié 2027.
| Régulation | Juridiction | Article clé | Sanction maximale | En vigueur | Couverture ACF |
|---|---|---|---|---|---|
DORA Digital Operational Resilience Act — Règlement (UE) 2022/2554 | Union européenne (secteur financier) | Art. 6 (ICT risk), Art. 18 (incidents), Art. 28 (third-party) | 1 % CA quotidien moyen, max 6 mois cumul (entité critique) | 17 janvier 2025 | Roadmap 2026-2027 |
NIS2 Directive (UE) 2022/2555 — Network and Information Security | Union européenne (secteurs essentiels et importants) | Art. 21 (mesures), Art. 23 (notification incidents 24h) | 10 M€ ou 2 % CA mondial (entités essentielles) | 17 octobre 2024 (transposition nationale) | Roadmap 2026-2027 |
CRA (Cyber Resilience Act) Règlement (UE) 2024/2847 — Cyber Resilience Act | Union européenne (produits avec composants numériques) | Annexe I (exigences essentielles cybersécurité) | 15 M€ ou 2,5 % CA mondial | Application décembre 2027 (obligations 2026) | Planifié 2027+ |
Référentiels ISO de gouvernance, sécurité, confidentialité, risk management, impact assessment et cycle de vie IA. ISO 42001 est codé en profondeur (cœur ACF) ; les 5 autres sont en roadmap 2026-2027.
| Régulation | Juridiction | Article clé | Sanction maximale | En vigueur | Couverture ACF |
|---|---|---|---|---|---|
ISO 42001 ISO/IEC 42001:2023 — Artificial Intelligence Management System (AIMS) | International (standard ISO) | Clauses 4-10 + Annexes A, B, C | Standard volontaire (mais exigé par auditeurs/clients) | Décembre 2023 | Cœur ACF |
ISO 27001 ISO/IEC 27001:2022 — Information Security Management System (ISMS) | International (standard ISO) | Clauses 4-10 + Annexe A (93 contrôles) | Standard volontaire (mais exigé par RSSI/clients) | Octobre 2022 | Roadmap 2026-2027 |
ISO 27701 ISO/IEC 27701:2019 — Privacy Information Management System (PIMS) | International (extension ISO 27001 pour la privacy) | Clauses 5-8 (extension SMSI pour PII) | Standard volontaire (mais utile pour démonstration RGPD) | Août 2019 | Roadmap 2026-2027 |
ISO 23894 ISO/IEC 23894:2023 — Guidance on AI risk management | International (standard ISO) | Clauses 4-6 (principes, framework, processus) + Annexes A/B | Standard volontaire (référencé par ISO 42001 §6.1.2 et AI Act art. 9) | Février 2023 | Planifié 2027+ |
ISO 42005 ISO/IEC 42005:2025 — AI System Impact Assessment (AIIA) | International (standard ISO) | Clause 6 (processus AIIA) + Annexes A/B/C | Standard volontaire (support direct AI Act art. 27 FRIA et ISO 42001 §6.1.4) | Mai 2025 | Planifié 2027+ |
ISO 5338 ISO/IEC 5338:2023 — AI System Life Cycle Processes | International (standard ISO) | Clause 8 (processus techniques cycle de vie) + Annexes A/B | Standard volontaire (support direct AI Act art. 11 + Annexe IV et ISO 42001 Annexe A.6) | Septembre 2023 | Planifié 2027+ |
Chaque article cartographié, chaque obligation actionnable, scoring D1-D6 paramétré et audit trail Ed25519 adapté. Pas une checklist : un moteur de conformité auditable, opposable, vérifiable indépendamment d'ACF.
Règlement (UE) 2024/1689 sur l'intelligence artificielle
Première loi mondiale qui encadre l'intelligence artificielle. Elle classe les systèmes IA par niveau de risque (interdits, haut risque, limité, minimal) et impose des obligations proportionnées.
Règlement (UE) 2016/679
ISO/IEC 42001:2023
Cartographie articles posée, intégration au moteur ACF planifiée. Les statuts "En cours" et "Planifié" sont visibles sur chaque ligne avec date estimative. Si votre besoin immédiat porte sur un framework hors cœurs, contactez-nous : nous accélérons s'il correspond à plusieurs clients.
| Framework | Catégorie | État | Mise en disponibilité estimée |
|---|---|---|---|
| CCPA / CPRA California Civil Code §1798.100 et seq. | Protection des données | En cours | Q1 2027 |
| LGPD Lei n° 13.709/2018 (Brésil) | Protection des données | En cours | Q1 2027 |
| PIPEDA S.C. 2000, c. 5 (Canada) | Protection des données | En cours | Q2 2027 |
| DORA Règlement (UE) 2022/2554 | Résilience numérique | En cours | Q4 2026 |
| NIS2 Directive (UE) 2022/2555 | Résilience numérique | En cours | Q4 2026 |
| ISO/IEC 27001:2022 ISO/IEC 27001:2022 | Standards internationaux | En cours | Q4 2026 |
| ISO/IEC 27701:2019 ISO/IEC 27701:2019 | Standards internationaux | En cours | Q1 2027 |
| APPI Act No. 57 of 2003 (Japon, révisions 2015 / 2020 / 2022) | Protection des données | Planifié | Q3 2027 |
| CRA Règlement (UE) 2024/2847 | Résilience numérique | Planifié | Q4 2027 |
| ISO/IEC 23894:2023 ISO/IEC 23894:2023 | Standards internationaux | Planifié | Q2 2027 |
| ISO/IEC 42005:2025 ISO/IEC 42005:2025 | Standards internationaux | Planifié | Q2 2027 |
| ISO/IEC 5338:2023 ISO/IEC 5338:2023 | Standards internationaux | Planifié | Q3 2027 |
Pivot 2026 : nous avons choisi étroit-et-profond plutôt que large-et-superficiel. Seuls RGPD, AI Act et ISO 42001 sont aujourd'hui codés en profondeur (chaque article cartographié, scoring D1-D6 paramétré, audit trail Ed25519 adapté). 12 frameworks transverses (DORA, NIS2, ISO 27001/27701, LGPD, CCPA, etc.) sont en construction sur 2026-2027 — vous voyez leur état réel (en cours / planifié) avec une date estimative. 13 juridictions IA non-UE (UK, US-Fed/CO/CA/NY, CA, BR, CH, JP, CN, KR, AU, IN) sont déjà utilisables aujourd'hui dans le moteur multi-juridiction. ACF Compliance surveille les publications officielles (JOUE, CNIL, EDPB, Commission européenne) et publie une nouvelle version sous 30 jours quand un cœur évolue. Si votre besoin immédiat porte sur un framework hors cœurs, contactez-nous : nous accélérons l'implémentation si elle correspond à plusieurs clients.