Le 1er décembre 2026, la loi chilienne Ley 21.719 entre pleinement en vigueur, créant la première autorité dédiée de protection des données du pays et un régime de sanctions pouvant atteindre 20 000 UTM, soit près de 1,4 milliard de pesos chiliens, par infraction gravísima. Cinq mois plus tôt, le Congrès brésilien court après un calendrier électoral qui referme sa fenêtre législative en août 2026, date limite à laquelle le Marco Legal da Inteligência Artificial doit franchir la Chambre des députés, sous peine de glisser à 2027. Le Mexique, de son côté, a déjà dissous purement et simplement son autorité de protection des données.

Aucun pays d'Amérique du Sud ne dispose encore d'une loi dédiée à l'IA en vigueur. Le PL 2338/2023 brésilien a été adopté par le Sénat en décembre 2024 et reste bloqué dans une commission spéciale de la Chambre depuis avril 2025. Le PL 043/2025 colombien porte un message d'urgence présidentielle et propose une nouvelle autorité de l'IA au sein de MinCiencias, toujours en commission. L'Argentine compte plusieurs projets de loi concurrents à la Chambre des députés, aucun adopté. Cette absence de loi spécifique à l'IA ne signifie pas une absence d'exposition : les lois de protection des données existantes, les circulaires sectorielles et un régulateur nouvellement dissous assurent déjà, de manière inégale, le travail d'application pays par pays.

Il en résulte une région où les cinq plus grandes juridictions avancent sur cinq horloges différentes, et où l'écart entre « pas encore de loi sur l'IA » et « pas encore de responsabilité liée à l'IA » est précisément l'endroit où surviennent la plupart des manquements de conformité.

Quels pays d'Amérique du Sud disposent déjà d'une loi spécifique à l'IA en vigueur ?

Aucune des cinq plus grandes juridictions, à la mi-2026. Le Marco Legal da Inteligência Artificial brésilien, PL 2338/2023, a été approuvé par le Sénat fédéral le 10 décembre 2024 par vote symbolique, puis transmis à la Chambre des députés, qui a créé une commission spéciale le 4 avril 2025 sous la houlette du rapporteur, le député Aguinaldo Ribeiro. À la mi-2026, le texte attend toujours le rapport du rapporteur, et l'élection présidentielle brésilienne du 4 octobre 2026 crée une fenêtre législative de facto qui se referme vers août 2026 ; si la Chambre ne vote pas d'ici là, les observateurs s'attendent à un report du texte à 2027.

L'initiative colombienne, le PL 043/2025 au Sénat et le PL 324/2025 à la Chambre, a été déposée en septembre et octobre 2025, avec un message d'urgence présidentielle joint le même mois. Elle propose une classification par niveau de risque calquée sur le règlement européen sur l'IA, un bac à sable réglementaire et une nouvelle Autoridad Nacional para la IA au sein du ministère des Sciences, de la Technologie et de l'Innovation, et reste devant les Comisiones Sextas conjointes du Sénat et de la Chambre. L'Argentine compte plusieurs propositions parallèles, portées par la sénatrice Silvia Sapag et le député Daniel Gollán, classant les systèmes d'IA par niveau de risque et interdisant la notation sociale et les systèmes manipulateurs, aucune adoptée. Le Mexique n'a aucun projet de loi sur l'IA proche de l'adoption ; des propositions de modification de l'article 73 de la Constitution visant à conférer explicitement au Congrès une compétence législative fédérale sur l'IA ont été déposées en 2025 et restent en attente.

Que se passe-t-il lorsque la Ley 21.719 chilienne entre pleinement en vigueur le 1er décembre 2026 ?

Le Chili obtient sa première autorité de protection des données dédiée et autonome, l'Agencia de Protección de Datos Personales, dotée d'un pouvoir de sanction réel sur toute organisation traitant les données personnelles de personnes présentes au Chili, quel que soit son lieu d'implantation. La Ley 21.719 a été publiée au Diario Oficial le 13 décembre 2024, après qu'une Comisión Mixta a concilié les versions du Sénat et de la Chambre, et prévoit une vacatio legis de 24 mois s'achevant le 1er décembre 2026. Une commission consultative interministérielle de mise en œuvre, créée par décret en 2025, a rédigé les premières instructions contraignantes de l'Agence, et le conseil directeur nommé pour diriger l'Agence attendait toujours sa confirmation par le Sénat à la mi-mai 2026, avec une prise de fonction attendue vers octobre 2026, quelques semaines avant le début de l'application pleine.

Le régime de sanctions est échelonné en vertu des articles 34 bis à 35 : les infractions leve entraînent un avertissement écrit ou une amende pouvant atteindre 5 000 UTM ; les infractions grave, telles que le traitement de données personnelles sans base légale valable ou le défaut de notification d'une violation à l'Agence dans les 72 heures, entraînent une amende pouvant atteindre 10 000 UTM ; et les infractions gravísima, y compris le traitement de données sensibles telles que des données de santé, biométriques ou d'affiliation syndicale sans base légale, entraînent une amende pouvant atteindre 20 000 UTM. Les infractions gravísima répétées commises par de grandes entreprises peuvent à la place être sanctionnées d'une amende pouvant atteindre 4 % du chiffre d'affaires annuel chilien si ce montant dépasse le plafond du triple multiplicateur. Concernant spécifiquement l'IA, la loi ajoute des droits opposables relatifs à la prise de décision automatisée et au profilage, absents de la Ley 19.628 de 1999 qu'elle remplace.

Qui encadre l'IA au Brésil pendant que le Marco Legal est bloqué au Congrès ?

La Lei Geral de Proteção de Dados, principalement par son article 20, qui donne à toute personne concernée le droit de demander le réexamen d'une décision prise uniquement par traitement automatisé de données personnelles, y compris les décisions façonnant le profil de consommation, de crédit ou professionnel d'une personne. Une tentative de 2019 visant à exiger qu'un tel réexamen soit effectué par une personne physique a été bloquée par un veto présidentiel, et le Congrès a maintenu ce veto à une voix près au Sénat le 2 octobre 2019 ; la LGPD n'impose donc pas explicitement un réexamen humain, bien que l'ANPD et les tribunaux brésiliens interprètent généralement les obligations de transparence de l'article 20 comme exigeant un contrôle humain réel et documenté, et non une simple validation de façade.

L'application de la loi a nettement progressé depuis la première amende publique de l'ANPD en juillet 2023. En vertu des règles de dosimétrie de la Resolução CD/ANPD 4/2023, l'ANPD peut imposer une amende pouvant atteindre 2 % du chiffre d'affaires brésilien de l'entreprise en infraction pour le dernier exercice, plafonnée à 50 millions de reais par infraction, assortie d'amendes journalières en cas de manquement continu. Les motifs les plus courants dans les procédures de l'ANPD sont les défauts de notification de violation au titre de l'article 48, le traitement sans base légale valable au titre de l'article 7, et l'absence d'un délégué à la protection des données obligatoire au titre de l'article 41. Les entreprises qui déploient de l'IA au Brésil aujourd'hui sont jugées à l'aune du corpus réglementaire de la LGPD, vieux d'une décennie, et non des niveaux de risque que le Marco Legal introduirait.

Comment la Colombie encadre-t-elle l'IA sans loi dédiée pour l'instant ?

Par le biais de la Circular Externa 002 du 21 août 2024 de la Superintendencia de Industria y Comercio, contraignante dès aujourd'hui, alors même que le PL 043/2025 reste en commission. La SIC, agissant en tant qu'autorité nationale de protection des données de la Colombie en vertu de la Ley 1581 de 2012, a utilisé cette circulaire pour affirmer que les principes de l'Habeas Data s'appliquent pleinement aux données personnelles traitées au sein des systèmes d'IA, quelle que soit la technologie sous-jacente, et exige des organisations qu'elles démontrent l'idoneidad, la necesidad, la razonabilidad et la proporcionalidad chaque fois que des données personnelles alimentent un modèle d'IA ou une décision automatisée.

Cela signifie qu'une entreprise déployant de l'IA en Colombie a déjà une obligation de conformité documentée, tirée de la Ley 1581 et de la Circular 002/2024, bien avant l'arrivée de la classification par niveau de risque et de la nouvelle autorité de l'IA prévues par le PL 043/2025. Le texte propose des catégories à haut risque définies par l'usage prévu et la gravité du dommage potentiel, ainsi qu'un bac à sable réglementaire permettant à la future Autoridad Nacional para la IA d'autoriser des tests contrôlés. Tant qu'il n'est pas adopté, le corpus réglementaire opposable de la Colombie en matière d'IA et de données reste la circulaire de la SIC, celle que les régulateurs appliquent réellement.

Qu'a changé la dissolution de l'INAI mexicain pour l'application de la protection des données ?

Elle a supprimé le régulateur indépendant et constitutionnellement autonome du pays en matière de vie privée et transféré ses fonctions à un organe placé sous l'exécutif. Une réforme constitutionnelle du 28 novembre 2024 a supprimé sept organismes autonomes, dont l'Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, et le 20 février 2025, le Mexique a publié de nouvelles versions de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares et de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, toutes deux entrées en vigueur le 21 mars 2025. Les ressources, procédures en cours et fonctions d'application de l'INAI ont été transférées à la Secretaría Anticorrupción y Buen Gobierno, qui instruit désormais les plaintes et impose des sanctions au titre des deux lois.

Sur le fond, le cadre des droits ARCO et les bases légales de traitement ont été largement repris sans modification, mais aucune des deux lois n'a été rédigée en pensant à la prise de décision automatisée, à l'opacité algorithmique ou à l'entraînement massif sur des données web publiques, puisque toutes deux datent de textes de 2010 et 2017. Des propositions de modification de l'article 73 de la Constitution visant à donner au Congrès une compétence explicite pour légiférer sur l'IA ont été déposées en 2025 et restent en attente. Pour l'heure, une entreprise exploitant une IA touchant des données personnelles mexicaines répond devant un secrétariat appliquant un droit de la protection des données rédigé avant l'existence de l'IA générative.

Comment une équipe de conformité doit-elle suivre cinq régimes non coordonnés à la fois ?

Il faut commencer par distinguer ce qui est « déjà opposable » de ce qui est « en attente ». La Ley 21.719 chilienne devient opposable le 1er décembre 2026 ; l'article 20 de la LGPD brésilienne et les règles de dosimétrie de l'ANPD sont opposables dès aujourd'hui ; la Circular 002/2024 de la SIC colombienne est opposable dès aujourd'hui ; les lois mexicaines de protection des données de 2025 sont opposables dès aujourd'hui sous un nouveau régulateur ; et tout projet de loi dédié à l'IA dans la région, au Brésil, en Colombie comme en Argentine, reste en attente.

JuridictionInstrument actuel pertinent pour l'IAStatut de la loi dédiée à l'IADate clé 2026
BrésilLGPD art. 20 (décisions automatisées) + dosimétrie ANPD (Rés. 4/2023)PL 2338/2023, en attente en commission à la ChambreFenêtre législative se referme vers août 2026
ChiliLey 19.628 (jusqu'au remplacement)Aucun projet de loi IA dédié ; le droit des données couvre le profilageLey 21.719 pleinement en vigueur le 1er décembre 2026
ColombieSIC Circular Externa 002/2024 + Ley 1581/2012PL 043/2025S, en attente aux Comisiones SextasMessage d'urgence présidentielle actif depuis septembre 2025
ArgentineLey 25.326 (2000)Plusieurs projets en attente, aucun adoptéProjets de réforme alignés sur l'AAIP au Congrès jusqu'en 2026
MexiqueLFPDPPP et LGPDPPSO, toutes deux en vigueur depuis le 21 mars 2025Aucun projet de loi IA proche de l'adoptionLa Secretaría Anticorrupción y Buen Gobierno devient le seul organe d'application

Manuellement, cela suppose de lire cinq journaux officiels en parallèle et de revérifier chacun d'eux dès qu'une commission publie un nouveau projet de texte ou qu'un régulateur émet une nouvelle circulaire. La veille réglementaire par juridiction d'Obsidian a été conçue pour cette charge de travail : elle suit chaque source officielle dès sa publication, signale la résolução, circular, ley ou decreto précise touchant un cadre déjà présent sur la liste de suivi d'une entreprise, et transforme cinq suivis nationaux non coordonnés en un tableau de bord unique avec alertes datées.

Pour les équipes ayant besoin de la même réponse sourcée directement dans un flux de travail plutôt que dans un tableau de bord, ces données sont également accessibles via le MCP, de sorte qu'un assistant IA déjà chargé d'autres tâches de conformité puisse confirmer si l'Agence chilienne a déjà publié sa première instruction contraignante, sans qu'une personne ait à revérifier la source au préalable. L'IA d'Obsidian fonctionne dans cet échange comme une compagne réglementaire, jamais comme un substitut au responsable conformité qui valide la réponse : elle se contente de faire remonter le fait sourcé avant l'échéance, plutôt qu'après.

Que doit faire ensuite une équipe de gouvernance de l'IA et des données

Il faut cartographier l'exposition par instrument, pas par étiquette pays. Une équipe au Chili a besoin d'un plan de préparation à la Ley 21.719 construit autour de la date d'application du 1er décembre 2026. Une équipe au Brésil a besoin d'un processus de réexamen au titre de l'article 20 de la LGPD qui résiste dès aujourd'hui à l'examen de l'ANPD, indépendamment du sort du Marco Legal. Une équipe en Colombie doit documenter dès maintenant l'idoneidad, la necesidad et la proporcionalidad au titre de la Circular 002/2024, et non attendre que le PL 043/2025 devienne loi. Une équipe au Mexique doit savoir que son régulateur est désormais un secrétariat au sein de l'exécutif, et non un institut autonome, ce qui change concrètement la manière dont une plainte est traitée.

Les forfaits d'Obsidian sont conçus pour ce type de suivi multi-juridictionnel de la gouvernance de l'IA et des données, source officielle par source officielle, afin que la prochaine résolution de l'ANPD, circulaire de la SIC ou instruction de l'Agencia de Protección de Datos parvienne à l'équipe de conformité avant qu'elle n'atteigne les gros titres.