Le Texas est devenu le premier État américain doté d'une loi contraignante et globale sur l'IA le 1er janvier 2026, date d'entrée en vigueur du Texas Responsible Artificial Intelligence Governance Act (TRAIGA). Le même jour, le California Transparency in Frontier Artificial Intelligence Act est lui aussi devenu applicable, obligeant les développeurs de modèles de pointe à transmettre des évaluations de risques catastrophiques à l'Office of Emergency Services de l'État tous les trois mois. Aucune entreprise opérant à l'échelle nationale ne peut choisir un seul régime et ignorer l'autre.

Le gouvernement fédéral a passé 2025 et 2026 à tenter d'empêcher précisément ce résultat, sans succès. Un moratoire fédéral de 10 ans sur la régulation étatique de l'IA a été retiré du One Big Beautiful Bill Act après un vote du Sénat à 99 voix contre 1 en juillet 2025. Face à cet échec, le président Trump a signé le décret présidentiel 14365 le 11 décembre 2025, créant un groupe de travail sur le contentieux de l'IA (AI Litigation Task Force) chargé de contester directement les lois étatiques sur l'IA devant les tribunaux et de conditionner les financements fédéraux du haut débit à la déréglementation des États. À la mi-2026, plus de 145 lois étatiques sur l'IA avaient été adoptées à travers le pays, sur plus de 1 200 projets de loi déposés, et la campagne fédérale visant à les neutraliser n'avait encore abouti à aucune contestation judiciaire réussie.

Au nord de la frontière, le calcul est différent mais tout aussi lourd de conséquences. Le Canada n'a aucune loi fédérale sur l'IA : la Loi sur l'intelligence artificielle et les données (LIAD) est morte au feuilleton en janvier 2025 lors de la prorogation du Parlement, et le gouvernement a confirmé en 2025 qu'elle ne serait pas ressuscitée sous sa forme initiale. La conformité au Canada passe plutôt par le droit de la protection des renseignements personnels, au premier chef la Loi 25 du Québec, qui prévoit déjà des pénalités pouvant atteindre 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial pour les manquements liés à la prise de décision automatisée.

Quels régulateurs pilotent réellement la gouvernance de l'IA et des données en Amérique du Nord ?

Aux États-Unis, il n'existe aucun régulateur unique de l'IA. L'application des règles se répartit entre les procureurs généraux des États agissant en vertu de nouvelles lois spécifiques à l'IA, la Federal Trade Commission s'appuyant sur ses pouvoirs existants en matière de pratiques déloyales et trompeuses, et les régulateurs sectoriels qui superposent des règles sur l'IA aux réglementations bancaires, de santé et du travail. Depuis que le président Trump a révoqué le décret présidentiel 14110 de l'ère Biden le 23 janvier 2025 par le décret 14179, il n'existe plus aucun cadre fédéral contraignant sur l'IA, seulement le plan d'action America's AI Action Plan, publié en juillet 2025 à titre volontaire, et une campagne de préemption des lois étatiques qui n'a pas encore abouti.

Au Canada, le tableau est plus simple sur le papier et plus complexe en pratique : aucune loi fédérale sur l'IA n'existe, si bien que les obligations découlent de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, PIPEDA) au niveau fédéral et des lois provinciales, au premier rang desquelles la Loi 25 du Québec, pour tout ce qui touche aux données personnelles utilisées dans des décisions automatisées. Les secteurs sous réglementation fédérale ajoutent leur propre strate, notamment le Bureau du surintendant des institutions financières (BSIF) pour les banques et les assureurs. Déterminer quel régime s'applique réellement à un déploiement d'IA donné, qu'il soit étatique, fédéral ou provincial, est exactement le type de question transfrontalière que la veille réglementaire d'Obsidian est conçue pour répondre, avec des citations sourcées et datées plutôt qu'une impression générale de « régulation de l'IA ».

Que prévoit réellement le TRAIGA texan à partir de 2026 ?

Le texte interdit l'usage intentionnellement abusif plutôt que d'imposer des évaluations de risque pour chaque système. Le TRAIGA, en vigueur depuis le 1er janvier 2026, interdit l'IA développée ou déployée avec l'intention de discriminer illégalement, de violer des droits constitutionnels ou de manipuler un comportement d'une manière causant un préjudice. Le procureur général du Texas détient l'autorité exclusive d'application et doit adresser une notification écrite assortie d'un délai de mise en conformité de 60 jours avant de poursuivre. Les violations non corrigées à l'issue de ce délai entraînent des pénalités civiles de 10 000 à 12 000 dollars pour les violations corrigibles, de 80 000 à 200 000 dollars pour les violations non corrigibles, et de 2 000 à 40 000 dollars par jour pour les violations continues. Le TRAIGA neutralise également toute ordonnance locale sur l'IA à l'échelle de l'État et crée un bac à sable réglementaire (sandbox) de 36 mois, mais il n'accorde aux particuliers aucun droit d'action privé, si bien que chaque dossier relève exclusivement du bureau du procureur général.

Le Colorado AI Act est-il réellement entré en vigueur, et par quoi a-t-il été remplacé ?

Non, et son remplacement modifie entièrement la cible de conformité. Le Colorado AI Act original, adopté en 2024, devait entrer en vigueur le 30 juin 2026 et aurait imposé des obligations de lutte contre la discrimination algorithmique ainsi que des programmes obligatoires de gestion des risques aux développeurs et déployeurs de systèmes d'IA à « haut risque ». Le gouverneur Jared Polis a plutôt signé le SB 26-189 le 14 mai 2026, abrogeant cette loi avant même son entrée en vigueur et la remplaçant par un texte plus restreint encadrant les technologies de prise de décision automatisée utilisées dans des « décisions à conséquences ». La nouvelle loi supprime les obligations de gestion des risques et d'évaluation d'impact au profit d'avis préalables aux consommateurs, d'un droit à une explication après décision et d'un contrôle humain effectif. Elle entre en vigueur le 1er janvier 2027, le même jour que les règles californiennes du CCPA sur les technologies de prise de décision automatisée, ce qui signifie que deux des règles les plus déterminantes en matière d'IA du pays entrent en application à la même date.

Dates clés de la gouvernance de l'IA et des données en Amérique du Nord, 2026 à 2027

DateRégimeCe qui change
1er janvier 2026TRAIGA (Texas)Première loi étatique globale sur l'IA entre en vigueur ; l'application par le procureur général débute
1er janvier 2026SB 53 (TFAIA), CalifornieLes développeurs de modèles de pointe doivent publier des cadres de sécurité IA et des rapports de transparence ; les déclarations trimestrielles de risque catastrophique au Cal OES débutent
11 décembre 2025Décret présidentiel 14365Lancement du groupe de travail sur le contentieux de l'IA pour contester les lois étatiques devant les tribunaux
14 mai 2026SB 26-189 (Colorado)Le Colorado AI Act original est abrogé et remplacé par une loi ADMT plus restreinte
1er janvier 2027SB 26-189 (Colorado) / règles ADMT du CCPA (Californie)Les deux régimes de prise de décision automatisée deviennent applicables à la même date

Washington est-il réellement en mesure de neutraliser les lois étatiques sur l'IA ?

Pas encore, malgré deux tentatives. La première, un moratoire fédéral proposé de 5 à 10 ans sur la régulation étatique et locale de l'IA, avait été inscrite dans une première version de la Chambre des représentants du One Big Beautiful Bill Act en mai 2025, avant d'être retirée après un vote du Sénat à 99 voix contre 1 en juillet 2025. La seconde, le décret présidentiel 14365, signé le 11 décembre 2025, a privilégié la voie judiciaire plutôt que législative : il charge le Department of Justice d'identifier les lois étatiques sur l'IA jugées « excessives » et de les contester devant les tribunaux, et charge les agences fédérales de conditionner les financements du déploiement du haut débit au non-respect, par les États, de lois sur l'IA jugées excessives. Aucun de ces deux mécanismes n'a débouché à la mi-2026 sur une décision invalidant le TRAIGA, le SB 53 ou le SB 26-189 du Colorado, ce qui signifie que les équipes de conformité doivent encore composer avec les trois comme des lois pleinement applicables, et non comme de simples cibles d'une éventuelle préemption fédérale. On peut demander à l'IA d'Obsidian de fournir à la demande le statut d'application actuel de l'une ou l'autre de ces lois, sourcé directement à partir du texte réglementaire suivi plutôt que d'un commentaire déjà potentiellement obsolète au prochain dépôt judiciaire.

Pourquoi le Canada n'a-t-il toujours aucune loi fédérale sur l'IA, et qu'est-ce qui comble ce vide ?

Parce que sa seule tentative sérieuse s'est effondrée avec le gouvernement qui l'avait rédigée. La Loi sur l'intelligence artificielle et les données (LIAD), intégrée au projet de loi C-27 avec un volet de modernisation de la protection des renseignements personnels au fédéral, a franchi la deuxième lecture en avril 2023 mais n'a jamais fait l'objet d'un vote final avant la prorogation du Parlement en janvier 2025, mettant ainsi fin au projet de loi. Le ministre de l'Industrie Evan Solomon a confirmé en 2025 que la LIAD ne reviendrait pas sous sa forme initiale, et la stratégie 2026 du gouvernement, « l'IA pour tous », a explicitement retenu un modèle de gouvernance distribué plutôt qu'une loi unique sur l'IA, s'appuyant à la place sur le droit existant en matière de protection des renseignements personnels, de droits de la personne et de réglementation sectorielle.

En pratique, cela signifie que la Loi 25 du Québec fait office, pour le Canada, du plancher de conformité le plus proche d'une véritable loi sur l'IA pour toute organisation traitant des données personnelles sur son territoire. L'article 12.1 exige, depuis septembre 2023, que toute personne rendant une décision fondée exclusivement sur un traitement automatisé en informe la personne concernée, lui explique la décision sur demande et lui permette de la faire réviser par une personne. La Commission d'accès à l'information du Québec applique activement cette disposition, avec des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars canadiens ou 2 % du chiffre d'affaires mondial, et des amendes pénales pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé à chaque palier. Les entités sous réglementation fédérale ajoutent par-dessus les règles de consentement et de limitation des finalités de la LPRPDE, si bien qu'un seul outil de recrutement automatisé utilisé au Québec, en Ontario et dans le secteur bancaire fédéral peut déclencher trois obligations de conformité distinctes issues de trois sources différentes, aucune d'entre elles n'étant qualifiée de « loi sur l'IA ».

Que doit réellement faire une équipe de conformité face à ce patchwork ?

Cartographier chaque système d'IA en fonction des États et provinces où il est réellement déployé, et non en fonction d'une norme nationale unique, car aucune n'existe de part et d'autre de la frontière. Un outil de recrutement déployé uniquement au Texas, en Californie et au Colorado doit satisfaire aux interdictions fondées sur l'intention du TRAIGA, aux obligations de transparence du SB 53 s'il fait appel à un modèle de pointe, et, à compter du 1er janvier 2027, aux règles de divulgation en matière de prise de décision automatisée qui se superposent entre le Colorado et la Californie, trois régimes aux déclencheurs, régulateurs et structures de sanctions différents. Un déploiement canadien y ajoute la LPRPDE et, si des résidents québécois sont concernés, les exigences plus strictes de la Loi 25 en matière de divulgation et de contrôle humain.

Obsidian suit ces sources tier-0, les bureaux des procureurs généraux des États, le Cal OES, la Commission d'accès à l'information du Québec, ainsi que les décrets présidentiels fédéraux qui redessinent ce paysage, au niveau des juridictions et des cadres réglementaires, avec des alertes dès qu'une date d'entrée en vigueur arrive ou qu'une posture d'application évolue. Consultez les forfaits conçus pour les équipes de gouvernance de l'IA et de protection des données confrontées précisément à ce type d'exposition multi-juridictionnelle, ou connectez le MCP d'Obsidian à vos propres outils afin que la réponse à « lequel de nos systèmes d'IA est exposé au TRAIGA » s'accompagne d'une citation, et non d'une supposition.