Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Retour au blog
Blog · 16 avril 2026

Se conformer à l'ère des LLM : la nouvelle pile réglementaire pour les plateformes d'IA (FR)

Les plateformes d'IA sont soumises aux mêmes exigences de conformité que les banques et les plateformes d'échange de cryptomonnaies. Loi européenne sur l'IA, DSA, RGPD, KYC, LBCF – l'ensemble des réglementations auxquelles les.

Par DiditMis à jour le
compliance-in-the-llm-era.png

Il y a cinq ans, les obligations de conformité d'une entreprise d'IA tenaient sur une seule page. Une politique de confidentialité, des conditions d'utilisation, peut-être une bannière de cookies, et – si vous étiez prudent – un accord de traitement de données RGPD. C'était tout. L'IA était traitée comme un logiciel, et le logiciel était traité avec légèreté.

En avril 2026, ce monde n'existera plus.

Une plateforme d'IA lancée aujourd'hui opère au sein d'une pile réglementaire qui se chevauche et comprend la loi européenne sur l'IA, la loi sur les services numériques, le RGPD, les règles spécifiques à chaque secteur (finance, santé, éducation), les contrôles à l'exportation, les obligations de vérification de l'âge, les exigences de provenance du contenu et – de plus en plus – des obligations explicites de type KYC/LBCF concernant qui peut accéder aux modèles et ce qu'il peut en faire. Le récent déploiement d'Anthropic d'une vérification par passeport et selfie sur Claude est un symptôme visible de ce changement. Ce ne sera pas le dernier.

Cet article présente la pile de conformité à laquelle les entreprises d'IA doivent désormais se conformer, explique ce qui a changé au cours des 18 derniers mois et présente une architecture pratique pour construire un produit qui puisse résister à l'examen réglementaire sans détruire l'expérience des développeurs.

Ce qui a changé

Quatre choses se sont produites, à peu près en parallèle, entre fin 2024 et début 2026.

Premièrement, les régulateurs ont rattrapé leur retard. La loi européenne sur l'IA est entrée en vigueur par étapes à partir d'août 2024, avec des obligations concernant les modèles d'IA à usage général à partir d'août 2025 et les obligations concernant les systèmes à haut risque à partir d'août 2026. Le Royaume-Uni a créé l'AI Safety Institute avec des accords de test formels. Le décret exécutif américain sur l'IA a créé des seuils de déclaration pour les grands entraînements. Le Brésil, le Japon, la Corée du Sud, Singapour et les Émirats arabes unis ont tous publié des cadres d'IA. La Chine exigeait déjà la vérification de l'identité pour l'IA générative depuis 2023.

Deuxièmement, les plateformes d'IA sont devenues systémiquement importantes. Claude, ChatGPT, Gemini et Grok sont désormais présents dans le flux de travail de dizaines de millions d'employés d'entreprises et de centaines de millions de consommateurs. Cette ampleur déclenche les obligations de la « très grande plateforme en ligne » (VLOP) de la loi sur les services numériques dans l'UE, les régimes de protection des consommateurs dans plusieurs juridictions et la gravité générale de « si cela casse, cela casse beaucoup de choses ».

Troisièmement, les vecteurs d'abus ont mûri. La fraude par deepfake, le clonage vocal, le phishing automatisé, la création d'identité synthétique, la distillation de modèles, l'extraction de droits d'auteur, la génération de CSAM, les escroqueries d'agents – tout est passé du concept de preuve à des opérations industrielles. Chaque régulateur a maintenant une liste d'incidents réels à pointer du doigt lors de la rédaction des règles.

Quatrièmement, l'industrie a épuisé ses excuses. Pendant la majeure partie de 2023 et 2024, les entreprises d'IA ont réussi à faire valoir que l'autorégulation et les engagements volontaires étaient suffisants. En 2026, avec des preuves claires d'une distillation à l'échelle industrielle, d'une fraude par deepfake atteignant des milliards de pertes annuelles et de chatbots d'IA impliqués dans des suicides d'adolescents et des escroqueries d'usurpation d'identité, cet argument ne tient plus.

Le résultat est que la conformité de l'IA n'est plus une réflexion après coup au niveau du produit. C'est une préoccupation architecturale, comparable à la mise à l'échelle et à la sécurité.

La pile réglementaire en 2026

Une plateforme d'IA opérant sur les principaux marchés doit désormais gérer les couches suivantes, simultanément.

Loi européenne sur l'IA

La première loi complète sur l'IA en vigueur. Obligations clés par catégorie :

  • Modèles d'IA à usage général (GPAI) : documentation de transparence, résumés des données d'entraînement, politique de droits d'auteur, documentation technique disponible pour les déployeurs en aval. Les modèles présentant un « risque systémique » (entraînés au-dessus du seuil de 10^25 FLOP) sont soumis à des obligations supplémentaires : évaluation des risques systémiques, tests rouges, signalement des incidents graves, protections de la cybersécurité.
  • Systèmes d'IA à haut risque : systèmes de gestion des risques, gouvernance des données, documentation technique, conservation des registres, surveillance humaine, exigences d'exactitude et de robustesse, surveillance post-commercialisation. S'applique à l'IA dans l'emploi, le crédit, l'assurance, l'éducation, les infrastructures essentielles, l'application de la loi, etc.
  • IA à risque limité (chatbots, deepfakes) : obligations de transparence – les utilisateurs doivent savoir qu'ils interagissent avec l'IA, et le contenu synthétique doit être étiqueté.
  • IA interdite : notation sociale, identification biométrique en temps réel dans les lieux publics (avec quelques exceptions), reconnaissance des émotions sur le lieu de travail/à l'école, police prédictive basée uniquement sur le profilage, reconnaissance faciale non ciblée.

Les pénalités atteignent jusqu'à 7 % du chiffre d'affaires annuel mondial pour l'IA interdite, 3 % pour les autres violations.

Loi sur les services numériques (DSA)

S'applique à toute plateforme en ligne desservant les utilisateurs de l'UE. Les chatbots d'IA à grande échelle déclenchent les obligations de la « très grande plateforme en ligne » (VLOP) : évaluations des risques systémiques, audits indépendants, rapports de transparence, accès aux données des chercheurs, obligations de modération du contenu, mécanismes de réponse aux crises. Pénalité maximale : 6 % du chiffre d'affaires mondial.

RGPD

Reste le régime de confidentialité fondamental pour tout produit d'IA touchant des données personnelles de l'UE. Points de pression spécifiques à l'IA :

  • Base juridique pour les données d'entraînement. Le scraping du contenu web public pour l'entraînement des modèles est activement contesté dans plusieurs juridictions de l'UE.
  • Droit à l'effacement. Comment « supprimer » une personne d'un modèle entraîné ? L'application active de cela est encore émergente.
  • Prise de décision automatisée (article 22). Se déclenche lorsque les résultats de l'IA affectent de manière significative les individus. Nécessite des options d'examen humain.
  • Minimisation des données. Difficile à concilier avec l'entraînement des modèles de fondation sur des ensembles de données massifs.

Le CNEP (Comité européen de la protection des données) a publié un avis en décembre 2024 clarifiant certains de ces points, mais l'application est inégale entre les États membres et est toujours active.

Règles spécifiques à chaque secteur

L'IA utilisée dans des secteurs réglementés reprend automatiquement les obligations du secteur :

  • Finance : MiFID II, PSD2/PSD3, lignes directrices de l'ABE sur l'IA dans l'évaluation du crédit, conseils de la FINRA sur l'IA, circulaires de la CFPB sur la discrimination algorithmique
  • Santé : MDR (règlement européen sur les dispositifs médicaux) pour l'IA diagnostique, conseils HIPAA et FDA aux États-Unis
  • Éducation : lois sur la protection des données des élèves (FERPA aux États-Unis, lois au niveau de l'État)
  • Emploi : NYC Local Law 144, catégorie à haut risque de la loi européenne sur l'IA pour les outils de recrutement, conseils de l'EEOC sur la discrimination algorithmique
  • Assurance : modèle de bulletin NAIC sur l'IA, réglementation au niveau de l'État

Une plateforme d'IA qui permet aux clients d'entreprise de déployer dans l'un de ces secteurs hérite d'une partie de l'obligation.

Contrôles à l'exportation

L'IA est à double usage. Les États-Unis ont contrôlé à l'exportation certains GPU avancés depuis 2022, ont étendu les contrôles aux pondérations des modèles en dessous de certains seuils de capacité et maintiennent des restrictions sur la liste d'entités concernant l'accès à la technologie d'IA américaine par certains acteurs étrangers. L'UE a des contrôles à l'exportation sur les articles à double usage, y compris l'IA, en vertu du règlement européen sur les articles à double usage. Cela se traduit par une obligation de conformité quant à la possibilité de vendre l'accès à l'API, aux clients qui passent les contrôles de sanctions et aux modèles qui peuvent être déployés dans quelles juridictions.

KYC, LBCF et contrôles d'accès

Le dernier ajout à la pile, et celui auquel les entreprises d'IA sont le moins préparées. Facteurs :

  • Politiques de mise à l'échelle responsable des laboratoires de pointe (ASL-3 et supérieur nécessitent KYC)
  • Défense contre les attaques de distillation (voir la divulgation de février 2026 d'Anthropic)
  • Contrôle à l'exportation (nécessite des clients identifiés)
  • Prévention des abus (CSAM, amélioration des armes, fraude)
  • Convergence réglementaire avec la fintech (l'infrastructure d'IA est de plus en plus traitée comme une infrastructure financière)

Le résultat pratique est que les plateformes d'IA mettent en place des programmes KYC – vérification de l'identité, contrôle des sanctions, vérification des bénéficiaires effectifs, surveillance des activités suspectes – qui ressemblent étrangement à ceux que les fintechs et les plateformes d'échange de cryptomonnaies utilisent déjà.

Vérification de l'âge

Devient rapidement obligatoire dans les principaux marchés. La loi britannique sur la sécurité en ligne, les mises en œuvre par les États membres de l'UE du blocage de l'âge du contenu, les lois au niveau de l'État aux États-Unis (Utah, Louisiane, Texas et autres) et les politiques au niveau de la plateforme comme les exigences de l'App Store d'Apple poussent toutes dans la même direction : les produits contenant du contenu pour adultes, des services financiers, des éléments de conception addictifs ou un risque important pour les mineurs doivent vérifier l'âge.

Pour les chatbots d'IA, cela se traduit par un accès conditionnel à l'âge pour certaines fonctionnalités, une protection des interactions des mineurs et – dans certaines juridictions – des interdictions sur certains comportements de modèles en présence d'utilisateurs mineurs.

Provenance du contenu et marquage

La loi européenne sur l'IA exige que le contenu synthétique soit étiqueté. Le décret exécutif américain sur l'IA a demandé à NIST de développer des normes d'authentification du contenu. La spécification C2PA (Coalition for Content Provenance and Authenticity) devient une norme de facto du secteur. Les plateformes d'IA générant des images, de l'audio et de la vidéo sont tenues d'intégrer des signaux de provenance cryptographiques dans les sorties.

L'architecture de conformité qui fonctionne

Si vous construisez un produit d'IA en 2026, la pile de conformité ci-dessus peut sembler paralysante. Pas nécessairement. L'idée clé : la conformité pour l'IA est un problème architectural, pas un problème de politique. Les politiques écrites, les avis de confidentialité et les ADP sont nécessaires, mais loin d'être suffisants. Les contrôles doivent être intégrés au produit.

Voici l'architecture minimale qui fonctionne pour une plateforme d'IA moderne.

Couche d'identité et d'accès

Chaque utilisateur, chaque session, chaque appel d'API passe par une couche qui sait :

  • Qui est l'utilisateur (niveau de vérification)
  • Où il se trouve (juridiction)
  • Quel niveau d'accès il a (gratuit, payant, entreprise, accès limité aux fonctionnalités)
  • Quel est son profil de risque (comportemental, historique, appareil)

C'est la même couche qui gère le KYC, le contrôle LBCF, le contrôle des sanctions, la vérification de l'âge et le contrôle des exportations. Construisez-le une fois, intégrez-le à chaque surface du produit.

Composants techniques :

  • Vérification des documents avec détection de vie lors des mises à niveau de niveau
  • Contrôle des sanctions, des PEP et des médias défavorables lors de la création du compte
  • Empreinte digitale de l'appareil et surveillance comportementale pour une évaluation continue des risques
  • Surveillance continue avec des déclencheurs de revérification

Didit est un fournisseur conçu pour cette forme – paiement par vérification, couverture mondiale, vérification rapide, API native d'IA.

Couche de sécurité du contenu

Filtrage des entrées, filtrage des sorties, détection des abus, analyse CSAM, protection des droits d'auteur et signaux de provenance du contenu. C'est là que la sécurité du modèle répond à l'obligation réglementaire. Capacités spécifiques :

  • Classification des invites pour les catégories d'abus (CSAM, amélioration des armes, fraude, automutilation)
  • Classification des sorties correspondant aux mêmes catégories
  • Correspondance des hachages avec du contenu connu comme étant mauvais (NCMEC, bases de données de droits d'auteur)
  • Marquage et provenance C2PA pour les médias générés
  • Suite de tests rouges pour les failles connues

Couche d'audit et de reporting

Les régulateurs exigent de plus en plus des rapports structurés. Construisez l'infrastructure de journalisation d'audit pour la prendre en charge dès le premier jour :

  • Chaque décision ayant un impact important est enregistrée avec les entrées, les sorties, la version du modèle, l'invite et le niveau de l'utilisateur
  • Pipeline de signalement des incidents connecté à l'escalade interne et au dépôt réglementaire externe
  • Génération de rapports de transparence (statistiques agrégées et anonymisées sur les signalements, les interdictions, les refus)
  • Infrastructure d'accès à la recherche pour les demandes d'accès aux données de type DSA
  • Forfaits de preuves prêts à l'exportation pour des cadres de conformité spécifiques (documentation technique de la loi européenne sur l'IA, ISO 42001, SOC 2)

Routage de la juridiction

Des règles différentes s'appliquent à différents endroits. Un seul code de base doit gérer :

  • Les utilisateurs de l'UE sont soumis au RGPD, à la loi européenne sur l'IA, à la DSA
  • Les utilisateurs du Royaume-Uni sont soumis au RGPD du Royaume-Uni, à la loi sur la sécurité en ligne, à la réglementation britannique sur l'IA
  • Les utilisateurs américains sont soumis à un patchwork au niveau de l'État (CCPA/CPRA de Californie, loi de l'Utah sur l'IA, loi de l'État du Colorado, loi n° 144 de New York)
  • Les utilisateurs brésiliens sont soumis à la LGPD et à la loi imminente sur l'IA
  • Les utilisateurs chinois sont soumis aux règles de l'IAC sur l'IA générative

La couche de conformité route les requêtes, applique les contraintes juridiques et gère la résidence des données. Ce n'est pas facultatif pour les plateformes mondiales.

Couche de gouvernance du modèle

Spécifiquement pour les laboratoires de pointe, mais de plus en plus pour toute entreprise construisant au-dessus de modèles :

  • Fiches modèles avec provenance des données d'entraînement, résultats de l'évaluation, limitations connues
  • Rapports de test rouges pour les modèles à risque systémique
  • Réponse aux incidents en cas d'échec du comportement du modèle
  • Contrôle de version des modèles déployés dans des contextes réglementés
  • Documentation des déployeurs en aval (les obligations de transparence de la loi européenne sur l'IA se répercutent sur la chaîne d'approvisionnement)

Erreurs courantes et comment les éviter

Considérer la conformité comme un document de politique

L'erreur la plus coûteuse. Un avis de confidentialité magnifiquement rédigé ne sert à rien si le produit n'applique pas les règles qui y sont décrites. Intégrez l'application à l'architecture, puis décrivez-la dans la politique – pas l'inverse.

Supposer que l'auto-attestation suffit

« Les utilisateurs doivent avoir plus de 18 ans » dans vos conditions d'utilisation ne satisfait pas aux obligations de vérification de l'âge. « Les utilisateurs ne peuvent pas utiliser notre produit à des fins illégales » ne satisfait pas aux obligations de prévention du CSAM. Vous avez besoin d'une vérification, pas d'une attestation.

Attendre des éclaircissements réglementaires

Les réglementations ne deviennent pas moins strictes avec le temps. Chaque tour de clarification a resserré les obligations, et non les assouplies. Construire pour la loi européenne sur l'IA de 2025 aujourd'hui signifie déjà être à la traîne pour les dispositions à haut risque de 2026. Construisez pour l'interprétation la plus stricte.

Conserver vous-même les données biométriques et d'identité

Il s'agit d'une activité de conservation spécialisée et réglementée. Si vous n'êtes pas un fournisseur KYC, ne le devenez pas par accident. Utilisez un fournisseur dédié (Persona, Onfido, Didit) pour les données d'identité et restez du bon côté de la ligne contrôleur de données/sous-traitant.

Traiter la sécurité et la conformité comme des éléments séparés

Ils sont la même fonction, avec des publics différents. Votre programme de test rouge fait partie de votre documentation des risques systémiques de la loi européenne sur l'IA. Votre classificateur CSAM fait partie de vos obligations de la DSA. Votre contrôle des sanctions fait partie de votre posture de contrôle des exportations. Une gouvernance intégrée est efficace. Une gouvernance cloisonnée garantit des lacunes.

Sous-estimer le coût de conformité des ventes aux entreprises

Les clients d'entreprise exigeront des preuves – SOC 2 Type II, ISO 27001, ISO 42001 (spécifique à l'IA), accords de traitement des données, listes de sous-traitants, preuves de résidence des données juridiques. Ne pas intégrer ces éléments au cours de la première année coûte des mois de transactions d'entreprise au cours de la deuxième année.

Ce qui est bon en 2026

Une plateforme d'IA bien architecturée en 2026 a au minimum :

  • Vérification de l'identité basée sur les risques intégrée à chaque niveau et à chaque limite de capacité
  • Contrôle des sanctions et des exportations à la création du compte et selon un calendrier récurrent
  • Vérification de l'âge à tout endroit où les mineurs sont confrontés à un risque important
  • Infrastructure de sécurité du contenu – filtrage des entrées, filtrage des sorties, analyse CSAM, marquage
  • Journaux d'audit et rapports de transparence capables de fournir des dépôts réglementaires sans ingénierie héroïque
  • Routage conscient de la juridiction et des contrôles de résidence des données
  • Une fonction de sécurité et de gouvernance relevant de la direction, intégrée aux produits et à l'ingénierie, et non ajoutée après coup
  • Gouvernance des modèles documentée – fiches, évaluations, rapports de test rouges, réponse aux incidents
  • Due diligence des fournisseurs sur chaque modèle, outil et fournisseur de données de la pile
  • Surveillance active des schémas d'abus – distillation, fraude, scraping, usurpation d'identité

Il s'agit d'un investissement important en ingénierie. C'est également non négociable pour toute entreprise d'IA qui souhaite opérer à grande échelle sur des marchés réglementés.

La pile de conformité est le produit

L'instinct des constructeurs d'IA est de considérer la conformité comme une surcharge – la taxe que vous payez pour expédier votre « vrai » produit. En 2026, ce cadrage est incorrect. La pile de conformité fait de plus en plus partie du produit. Les clients d'entreprise choisissent les fournisseurs en fonction de leur posture de conformité. Les régulateurs ouvrent l'accès aux marchés en fonction des preuves de conformité. Les utilisateurs font confiance aux plateformes qui montrent leur travail.

Les entreprises d'IA qui gagneront les cinq prochaines années seront celles qui considéreront la pile de conformité de la même manière que les entreprises d'infrastructure considèrent la disponibilité : comme une préoccupation d'ingénierie de premier plan, avec un investissement, des outils et une attention de la direction correspondants.

Le déploiement discret d'Anthropic d'une vérification par passeport et selfie sur Claude n'est pas une aberration. C'est un aperçu. Chaque grande plateforme d'IA finira par se retrouver au même endroit, que ce soit par adoption volontaire ou par contrainte réglementaire. Les entreprises qui arrivent en premier et qui le font bien obtiendront un avantage durable. Celles qui attendront passeront la seconde moitié de la décennie à se réparer sous pression.

La conformité n'est pas l'ennemi de l'innovation de l'IA. Les abus incontrôlés, les modèles opaques et l'incertitude réglementaire le sont. Construire la pile décrite ci-dessus est la façon dont l'industrie gagne le droit de continuer à construire la prochaine génération de capacités.

---

Didit construit une infrastructure de vérification d'identité, de contrôle LBCF et de conformité pour les produits natifs de l'IA. 220+ pays, 14 000+ types de documents, 0,30 $ par vérification, pas de minimums. Commencez gratuitement ou contactez l'équipe.

are you ready for free kyc.png

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Commencer gratuitementNous contacter
Demande à une IA de résumer cette page
droit d'auteur it 2026 et IA | Didit