Le fossé de dérive : deux lois sur l'IA ont changé et la vôtre non

Ce que signifient le retard de l'AI Act de l'UE et la réécriture de l'AI Act du Colorado pour les entités réglementées

par Sam Rogers
10 min de lecture
video
governance
legal
regulated-industries
policy

Traduction en français

Au cours des deux dernières semaines, deux des lois sur l'IA les plus citées au monde ont connu des changements. Le sept mai, la Commission européenne est parvenue à un accord politique sur le « Digital Omnibus on AI », repoussant la plupart des obligations pour les produits à haut risque du Règlement européen sur l'IA d'août 2026 à décembre 2027. La même semaine, le projet de loi californien remplaçant l'ancienne loi sur l'IA de Californie est arrivé sur le bureau du gouverneur — et le promoteur original le qualifie de « plutôt un avis qu'un projet de loi ».

La bonne nouvelle est que, au total, ces deux changements sont plus faciles pour les entités réglementées. Plus de temps. Moins à faire. Si votre équipe de conformité s'attendait à un choc, ce choc est moins important.

La nouvelle compliquée est que votre posture de conformité d'il y a trente jours est toujours erronée. Mieux vaut être faux. Mais faux.

Regardez la vidéo

Regardez sur YouTube →

Ce qui a réellement changé

Les chiffres principaux comptent, voici donc les détails concrets.

Règlement européen sur l'IA — Digital Omnibus on AI (accord politique, 7 mai 2026) :

  • Les obligations pour les produits à haut risque en Annexe III (dépistage en matière d'emploi, notation de crédit, services essentiels et les autres grands domaines) sont repoussées du 2 août 2026 au 2 décembre 2027 — soit environ seize mois supplémentaires pour les fournisseurs et les déployeurs afin de mettre en place les évaluations de conformité, la gestion des risques, la journalisation et la surveillance humaine.
  • Les obligations pour les produits intégrant l'IA dans les produits réglementés de l'Annexe I sont encore repoussées au 2 août 2028.
  • Les obligations de filigrane pour le contenu généré par l'IA sont repoussées d'août à décembre de cette année. Les autres obligations de transparence de l'Article 50 (divulgation à l'utilisateur, étiquetage des deepfakes) restent en vigueur en août 2026.
  • Les nouvelles interdictions concernant les contenus intimes non consensuels générés par l'IA et les contenus pédopornographiques générés par l'IA entrent en vigueur en décembre 2026.
  • Le Bureau européen de l'IA acquiert une autorité de surveillance centralisée sur les modèles d'IA à usage général et les systèmes d'IA intégrés dans les très grandes plateformes en ligne désignées par le DSA.
  • Les délais pour les bacs à sable nationaux sont repoussés d'un an ; un nouveau bac à sable au niveau de l'UE sera géré par le Bureau de l'IA.

Loi californienne sur l'IA — Projet de loi remplaçant SB 26-189 :

  • Devoir de diligence raisonnable pour prévenir la discrimination algorithmique — supprimé.
  • Responsabilité du développeur — supprimée.
  • Exigence d'évaluation d'impact — supprimée.
  • Discrimination algorithmique en tant que concept défini — supprimée.
  • Couverture des systèmes à haut risque — supprimée.
  • Ce qui demeure : une obligation d'information pour le consommateur, une exigence de tenue de registres et une date d'effet repoussée à janvier 2027.

Ces deux mouvements sont, dans leur direction, plus favorables aux entités réglementées. Le précipice d'août 2026 autour duquel la plupart des feuilles de route de conformité européennes avaient été établies n'est plus en août 2026. La loi la plus exigeante sur l'IA aux États-Unis n'est plus particulièrement exigeante.

Pourquoi « Mieux vaut faux » est toujours faux

La plupart des travaux de conformité sont calibrés sur des hypothèses spécifiques : dispositions spécifiques, échéances spécifiques, définitions spécifiques, exigences de preuves spécifiques. Lorsque ces hypothèses changent, le calibrage change avec elles, que quelqu'un le remarque ou non.

Le changement au niveau de l'UE est le cas facile. Si votre équipe s'est préparée pour une échéance d'août 2026, vous avez seize mois supplémentaires pour affiner, simplifier ou redéfinir le périmètre. C'est véritablement utile. C'est aussi inutile si votre équipe ignore que la date a bougé. La feuille de route, l'allocation budgétaire, la sélection du fournisseur, le calendrier de formation — tout cela était calé sur l'ancienne date. Chacun doit être réexaminé.

Le changement californien est le cas le plus difficile. Si votre organisation a investi dans des contrôles opérationnels pour satisfaire au devoir de diligence raisonnable, à l'exigence d'évaluation d'impact ou au cadre de responsabilité du développeur, une grande partie de cet investissement est désormais opérationnellement inutile. Vous pouvez continuer à le faire — parfois, des pratiques volontairement supérieures aux exigences sont le bon choix — mais vous devez savoir que vous le faites volontairement, et non parce que la loi californienne l'exige encore. Sinon, vous absorbez des coûts pour un devoir qui n'existe plus.

Dans les deux cas, le fossé est le même. Votre posture de conformité était construite sur un modèle de la loi. La loi a bougé. La posture non.

C'est le fossé de dérive (drift gap).

Pourquoi la plupart des organisations ne peuvent pas le combler

La plupart des organisations suivent les changements réglementaires par une combinaison de fils d'actualité, de séances d'information trimestrielles avec des conseillers externes et de résumés assistés par IA. Chacune de ces sources a une demi-vie plus courte que ce que demande le cycle réglementaire actuel.

Un fil d'actualité capte le titre. Il capture rarement le changement structuré — quelle disposition a bougé, quelle définition a changé, quelle est la nouvelle date d'effet, quelles obligations ont été supprimées, lesquelles demeurent.

Un entretien trimestriel est, par construction, un instantané. Si la loi évolue entre les entretiens — et au rythme actuel, elle le fera — l'instantané est obsolète avant même qu'il ne soit lu.

Un résumé assisté par IA dépend du fait que le modèle ait lu le texte actuel. Si le modèle résume à partir de données d'entraînement antérieures au changement, le résumé est faussement confiant. Le modèle ne ment pas. Il représente simplement ce qu'il sait. Ce qu'il sait est obsolète.

Le problème structurel n'est pas qu'aucun de ces mécanismes n'est mauvais. C'est qu'aucun d'entre eux ne produit une représentation de la loi qui résiste au changement. Il n'y a pas de trace de ce qui était en vigueur lors de votre dernière vérification, de ce qui est en vigueur maintenant, et de ce qui a changé entre ces deux moments. La dérive n'est pas mesurée parce que rien dans le flux de travail n'est conçu pour la mesurer.

Nous avons annoncé ObligationFirst hier, la couche schématique sous le composant legal-graph du portefeuille PAICE. Avec EveryAILaw.com, PubLedge.org et AIIncidentLaw.org, il fournit une représentation structurée, actuelle et sensible à la juridiction de la loi sur l'IA. Lorsqu'un statut est modifié, l'enregistrement est mis à jour. Lorsqu'une loi est enjoinée, le champ d'application est mis à jour. Lorsqu'un groupe de travail supprime une obligation, la chaîne de remplacement le capture.

Le graphe porte le changement, pas seulement le texte. Cela est important pour le fossé de dérive spécifiquement parce que cela signifie que la question « qu'exige cette loi actuellement » donne une réponse différente de la question « qu'exigeait cette loi le 1er mars ». Les deux sont des requêtes valides. Les deux peuvent être répondues en quelques secondes. Aucune n'exige de relire le statut.

Le schéma est natif pour l'agent. Le copilote de conformité dans votre pile peut le lire directement, avec la chaîne de citation attachée. L'auditeur peut vérifier la chaîne. Le professionnel peut se tenir derrière cela.

Si vous gérez un cabinet d'avocats et avez besoin de cela au niveau professionnel — couverture juridictionnelle actuelle, surveillance et analyse approfondie — EveryAILaw.com dispose d'un niveau Pro qui est ouvert aux affaires aujourd'hui. Le reste du legal graph est gratuit et open source.

À propos de Claude pour le droit

Au cours de la même fenêtre de deux semaines où l'UE et le Colorado ont bougé, Anthropic a lancé Claude pour le droit : plus de vingt connecteurs MCP dans les logiciels juridiques, douze plugins pour domaines de pratique, Claude dans Microsoft Word et partenariats nommés dans le paysage des fournisseurs de technologie juridique. C'est un moment réel pour le travail juridique agentique, et un bon moment.

Claude pour le droit est complémentaire à ce que nous construisons, pas concurrent. Une plateforme comme Claude pour le droit a besoin d'un substrat juridique faisant autorité sur lequel interroger — sinon, chaque brillant copilote juridique espère encore que le modèle ait lu correctement le statut. Claude pour le droit apporte le flux de travail. Nous construisons la chaîne de citation sur laquelle il peut reposer.

Ce qu'il faut faire cette semaine

Trois étapes concrètes.

Premièrement, si votre mise à jour de conformité IA date de plus de deux semaines, refaites-la. Les deux lois sous-jacentes peuvent avoir changé. La version la plus favorable de « votre posture est erronée » reste « votre posture est erronée ».

Deuxièmement, identifiez les décisions de votre organisation qui étaient calées sur les anciennes obligations californiennes ou l'ancienne échéance de l'UE sur le Règlement sur l'IA. Allocations budgétaires, programmes de formation, sélection des fournisseurs, rapports au conseil d'administration. Chacune de ces choses nécessite un réexamen délibéré. Certaines seront toujours le bon choix. Certaines ne le seront pas.

Troisièmement, décidez si vous souhaitez continuer à suivre les changements réglementaires par les mêmes mécanismes que ceux que vous avez utilisés au cours des dix-huit derniers mois, ou si la vélocité du paysage justifie une infrastructure différente. Le fossé de dérive est soluble. Il se creuse également chaque mois où le suivi existant reste en place.

La loi vient de bouger deux fois en mai. Elle bougera davantage. La posture de conformité que vous construisez pour elle doit absorber le changement au rythme auquel le changement se produit.

Vous souhaitez évaluer la préparation de votre équipe pour la collaboration en IA ? Apprenez-en davantage sur PAICE pour les organisations ou faites une évaluation individuelle pour le voir par vous-même.

Impliquez-vous :

Lecture recommandée

📖 Série sur le fossé :

  • The Regulation Gap - Pourquoi la sensibilisation n'est pas la même chose que la conformité défendable
  • The Proof Gap - Pourquoi votre portefeuille de risques IA présente un problème de preuves
  • The Attribution Gap - Lorsque les décisions de l'IA échouent, qui est responsable ?

📖 Legal Graph et portefeuille :

Curious but short on time?

Take the 3-minute PAICE Pulse — a quick confidence check that maps how you see your own AI collaboration posture. No login required.