Le 22 janvier 2026, la loi fondamentale sur l'IA (AI Basic Act) de la Corée du Sud est entrée en vigueur, faisant de ce pays le premier au monde à disposer d'une loi horizontale complète sur l'IA hors de l'Union européenne. Trois semaines plus tôt, l'amendement à la loi chinoise sur la cybersécurité avait déjà relevé le plafond des amendes liées à l'IA à 50 millions de yuans ou 5 % du chiffre d'affaires de l'année précédente. En février 2026 seulement, les régulateurs chinois ont sanctionné 13 421 comptes et supprimé plus de 543 000 contenus pour non-respect de l'obligation d'étiquetage des contenus générés par IA prévue par la norme nationale obligatoire GB 45438-2025.
Nulle part ailleurs la régulation de l'IA et des données n'évolue à ce rythme, ni dans autant de directions à la fois. La Chine applique la loi par des campagnes de contrôle menées au titre des lois existantes sur la cybersécurité et les données, plutôt que par des amendes spécifiques à l'IA. Le Japon a choisi une loi de promotion sans aucune sanction directe. La Corée du Sud a légiféré la première mais a reporté d'un an sa propre mise en application. L'Inde a notifié ses règles de protection des données tant attendues, mais a repoussé les obligations de fond à mai 2027. Singapour, l'Australie et Hong Kong en sont encore aux cadres volontaires, aux documents de consultation et aux projets d'amendement bloqués.
Pour une équipe conformité couvrant la région, la question pratique n'est jamais « ce pays dispose-t-il d'une loi sur l'IA ? ». Elle est de savoir quel instrument est réellement applicable aujourd'hui, contre quel comportement, et à quelle date cela change.
Quels pays d'Asie-Pacifique appliquent-ils activement des règles spécifiques à l'IA aujourd'hui ?
La Chine est la seule à disposer d'un dispositif d'application fondé sur des amendes et des fermetures conçu spécifiquement pour les contenus et modèles d'IA, tandis que la Corée du Sud dispose d'une loi spécifique à l'IA en vigueur mais suspendue. Les mesures provisoires chinoises pour l'administration des services d'IA générative, en vigueur depuis le 15 août 2023, imposent à tout service d'IA générative accessible au public de réaliser une évaluation de sécurité et un dépôt d'algorithme auprès de la Cyberspace Administration of China avant son lancement. Au 17 mars 2026, 796 services avaient été déposés au niveau national et 481 de plus au niveau local. Les fournisseurs qui contournent ce dépôt sont mis hors ligne ; le modèle des campagnes « Qinglang », dont la plus récente est une action spéciale de quatre mois lancée en avril 2026 visant les grands modèles non enregistrés et les contenus synthétiques non étiquetés, s'appuie sur la CSL, la loi sur la protection des informations personnelles et la loi sur la sécurité des données, plutôt que sur les mesures relatives à l'IA générative elles-mêmes, dont le plafond de sanction ne dépasse pas 100 000 yuans.
La loi fondamentale sur l'IA de la Corée du Sud, en vigueur depuis le 22 janvier 2026, prévoit des amendes administratives allant jusqu'à 30 millions de wons pour défaut d'information des utilisateurs sur une interaction avec l'IA, défaut de désignation d'un représentant local, ou non-respect d'une décision corrective. Le ministère des Sciences et des TIC applique une période de grâce formelle d'un an sur les enquêtes de constatation des faits et les amendes, réservée dans l'intervalle aux cas impliquant un préjudice social grave ou une atteinte aux droits humains, la mise en application normale devant reprendre autour du 22 janvier 2027.
Que la loi japonaise de promotion de l'IA impose-t-elle réellement aux entreprises ?
Presque rien d'applicable directement, et c'est précisément l'objectif. La loi sur la promotion de la recherche, du développement et de l'utilisation des technologies liées à l'IA a été adoptée le 28 mai 2025 et est pleinement entrée en vigueur le 1er septembre 2025, instituant un quartier général stratégique de l'IA présidé par le Premier ministre et imposant un plan fondamental sur l'IA, adopté le 23 décembre 2025. La loi ne prévoit aucune amende ni interdiction directe ; les seuls outils du gouvernement sont les demandes de coopération, les lignes directrices et la publication des comportements non conformes.
Les obligations contraignantes applicables au déploiement de l'IA au Japon proviennent encore du droit sectoriel existant, principalement la loi sur la protection des informations personnelles (APPI), ainsi que des lignes directrices non contraignantes du METI et du MIC sur la gouvernance de l'IA pour les entreprises (version 1.1, mars 2025). Le Cabinet Office a achevé en janvier 2026 une consultation publique sur des principes et un code relatifs à l'IA générative, qui devrait déboucher sur de nouvelles lignes directrices non contraignantes en matière de propriété intellectuelle et de transparence des données. En 2026, une entreprise exploitant l'IA au Japon est jugée sur sa conformité à l'APPI et son alignement volontaire sur les lignes directrices, et non sur la loi sur l'IA elle-même.
Qu'est-ce qui change pour la conformité des données personnelles en Inde entre aujourd'hui et 2027 ?
Les Digital Personal Data Protection Rules, 2025, notifiées le 13 novembre 2025 en application du DPDP Act 2023, entrent en vigueur en trois phases distinctes plutôt que d'un seul coup. Les règles 1, 2 et 17 à 21, qui couvrent la mise en place du Data Protection Board et l'architecture réglementaire, ont pris effet immédiatement le 13 novembre 2025. La règle 4, relative au cadre d'enregistrement des Consent Managers, et la Section 6(9) correspondante, entrent en vigueur le 13 novembre 2026. Les obligations de fond que la plupart des équipes conformité attendent réellement, à savoir les exigences de notification et de consentement, la notification des violations, la protection des données des enfants, les obligations des Significant Data Fiduciaries, ainsi que l'architecture des sanctions et des recours prévue par les Sections 3 à 17 et 28 à 34, n'entrent en vigueur que le 13 mai 2027.
Ce délai de dix-huit mois est délibéré, mais il constitue aussi un piège pour les équipes qui considèrent le DPDP Act comme « pas encore réel ». Le Board fonctionne déjà et le travail réglementaire est en cours dès maintenant ; les systèmes conçus pour résister à un examen après mai 2027 doivent être élaborés au cours de 2026, et non assemblés au dernier trimestre avant l'échéance.
Comment Singapour encadre-t-elle l'IA sans loi contraignante sur l'IA ?
Entièrement par le biais de cadres volontaires publiés par l'Infocomm Media Development Authority, récemment étendus pour couvrir les agents d'IA autonomes. Le Model AI Governance Framework for Agentic AI, lancé le 22 janvier 2026, est le premier cadre de gouvernance au monde traitant spécifiquement des systèmes agentiques, structuré autour de quatre dimensions : limiter le risque dès le départ par le choix des cas d'usage et l'accès selon le principe du moindre privilège, attribuer une responsabilité humaine claire, intégrer des contrôles techniques sur l'ensemble du cycle de vie de l'agent, et permettre la responsabilisation de l'utilisateur final. Rien de tout cela n'est juridiquement contraignant, mais l'IMDA a indiqué que l'alignement sur ce cadre contribue à gérer l'exposition juridique, les organisations déployant des agents d'IA restant responsables de leurs actions au regard du droit existant, indépendamment du caractère volontaire du cadre.
Singapour superpose ce cadre au Model AI Governance Framework for Generative AI de 2024 et à la boîte à outils de test AI Verify, développée conjointement avec la Personal Data Protection Commission. En février 2026, le Premier ministre Lawrence Wong a annoncé la création d'un nouveau National AI Council ainsi qu'un ensemble de missions nationales sur l'IA ciblant l'industrie manufacturière, la connectivité, la finance et la santé, signe que le pari réglementaire de Singapour à court terme reste le droit souple assorti de missions sectorielles, plutôt qu'une loi horizontale sur l'IA.
Qu'est-ce qui est réellement applicable en Australie et à Hong Kong aujourd'hui ?
En Australie, une échéance concrète figure déjà au calendrier : à partir du 10 décembre 2026, le Privacy and Other Legislation Amendment Act 2024 impose aux entités soumises aux APP de préciser, dans leur politique de confidentialité, les types d'informations personnelles utilisées par tout programme informatique qui prend, ou soutient de manière substantielle et directe, une décision susceptible d'affecter significativement les droits ou intérêts d'une personne. L'obligation vise aussi bien les systèmes fondés sur l'IA que les outils à base de règles, s'applique même lorsqu'un humain reste formellement impliqué dans la boucle, et couvre les décisions prises à compter de cette date, quelle que soit la date de déploiement du système sous-jacent. L'Office of the Australian Information Commissioner a ouvert une consultation publique sur les lignes directrices de mise en œuvre le 18 mai 2026, clôturée le 15 juin 2026, les lignes directrices définitives n'étant attendues qu'en septembre 2026, laissant les entités engager leur mise en conformité sans disposer de ce texte.
Hong Kong ne connaît aucune échéance équivalente. Les amendements proposés à la Personal Data (Privacy) Ordinance, incluant une notification obligatoire des violations, des amendes administratives liées au chiffre d'affaires et une régulation directe des sous-traitants de données, ont été débattus au Conseil législatif en 2025 mais, à la mi-2026, demeurent de simples propositions et non une loi adoptée, apparemment bloqués par des préoccupations liées à la charge imposée aux entreprises. En leur absence, le Privacy Commissioner for Personal Data encadre l'IA au moyen du Model Personal Data Protection Framework de 2024, non contraignant, et d'une liste de contrôle de mars 2025 pour l'usage de l'IA générative par les employés, tandis que la Protection of Critical Infrastructures (Computer Systems) Ordinance, sans lien direct, est pleinement entrée en vigueur le 1er janvier 2026, ajoutant des obligations de cybersécurité pour les opérateurs d'infrastructures critiques désignées.
| Juridiction | Instrument contraignant spécifique à l'IA | Statut d'application mi-2026 | Prochaine échéance clé |
|---|---|---|---|
| Chine | Mesures relatives à l'IA générative (2023) + étiquetage GB 45438-2025 | Active, par campagnes, via la CSL/PIPL/DSL | Campagnes trimestrielles Qinglang en cours |
| Corée du Sud | Loi fondamentale sur l'IA (AI Basic Act) | En vigueur, amendes sous période de grâce | Fin de la période de grâce vers le 22 janvier 2027 |
| Japon | Loi de promotion de l'IA (AI Promotion Act) | En vigueur, aucune sanction directe | Phase II du plan fondamental sur l'IA en préparation |
| Inde | DPDP Act + DPDP Rules 2025 | Board opérationnel ; obligations de fond pas encore en vigueur | Obligations de fond en vigueur le 13 mai 2027 |
| Singapour | Aucun (cadres MGF volontaires) | Non contraignant, adossé au droit sectoriel existant | Déploiement du National AI Council tout au long de 2026 |
| Australie | Privacy Act 1988 (amendement ADM) | Pas encore en vigueur | Obligation de transparence ADM en vigueur le 10 décembre 2026 |
| Hong Kong | PDPO (non amendée) | Amendements bloqués depuis 2025 | Aucun calendrier confirmé |
Suivre sept trajectoires réglementaires en parallèle, en mandarin, en coréen, en japonais et en anglais, et revérifier chacune d'elles dès qu'un ministère publie une nouvelle circulaire ou qu'une assemblée fait sortir un projet de loi de commission, n'est pas une tâche qu'un seul responsable conformité peut assumer manuellement sur l'ensemble du périmètre Asie-Pacifique. Le suivi par juridiction d'Obsidian suit chaque source officielle, du registre de dépôt de la CAC aux notifications du Journal officiel indien, dès sa publication, et signale la mesure précise touchant un cadre déjà présent sur la liste de surveillance d'une entreprise.
Pour les équipes qui ont besoin de la même réponse sourcée à l'intérieur d'un flux de travail plutôt que dans un tableau de bord, le MCP permet à un assistant IA déjà en charge d'autres tâches de conformité de confirmer si la période de grâce du MSIT est effectivement terminée, ou si l'OAIC a déjà publié ses lignes directrices sur la prise de décision automatisée, sans qu'une personne doive d'abord revérifier la source primaire. Dans cet échange, l'IA d'Obsidian agit comme un compagnon réglementaire, non comme un substitut au responsable conformité qui valide la réponse ; elle se contente de fournir le fait sourcé avant l'échéance plutôt qu'après.
Que doit faire ensuite une équipe de gouvernance IA et données en Asie-Pacifique
Séquencez le travail selon les échéances applicables, pas selon l'actualité. Une équipe exposée à la Chine doit avoir son dépôt d'IA générative et son étiquetage GB 45438 à jour dès maintenant, les campagnes d'application ayant lieu chaque trimestre. Une équipe en Corée doit disposer d'une base de conformité à l'AI Basic Act prête avant la levée de la période de grâce vers janvier 2027. Une équipe en Inde doit concevoir son architecture de consentement et de notification des violations dès 2026, afin de résister à l'examen du Board une fois les obligations de fond du DPDP en vigueur en mai 2027. Une équipe en Australie doit avoir le libellé de sa politique de confidentialité et son inventaire des décisions prêts avant le 10 décembre 2026, et non après.
Les formules d'Obsidian sont conçues précisément pour suivre ce type de calendrier de gouvernance IA et données, asynchrone et multi-juridictionnel, source officielle par source officielle, afin que la prochaine notification de la CAC, ligne directrice du MSIT ou décision de l'OAIC parvienne à l'équipe conformité avant de faire la une.